トップへ戻る

ユーザー事例 CASE STUDY

サービスの多様化・事業拡大に欠かせないセキュリティ対策
ソースコード自動診断で品質を可視化

顧客に寄り添うメタップスペイメント様の姿勢を陰からご支援する
ソースコード自動診断Cracker Probing-Eyes® Core

metapspayment
metapspayment

株式会社メタップスペイメント 様

経済産業省が日本のキャッシュレス化の方向性や方策を取りまとめ、2018年に公表した「キャッシュレスビジョン」では、2025年までに国内のキャッシュレス比率40%を目指すとしていた*1。2022年のキャッシュレス決済比率は36.0%*2で、111兆円規模となっている。
株式会社メタップスペイメント(以下、MP社)は、キャッシュレスの中で大きな柱を占めるクレジットカード決済、コンビニ決済、電子マネー決済等の各種決済を行う決済プラットフォームの提供、事業者に対してキャッシュレス導入を促進するパッケージシステム、事業者の従業員に対する福利厚生となる給与即時払い(CRIA)サービスを展開している。

ソースコード自動診断で開発品質の可視化

MP社様では、2022年よりBBSecのセキュリティサービスをご利用いただいている。特に開発から運用・保守(改修)まで幅広く利用できるソースコード自動診断Cracker Probing-Eyes® Core(以下、CPE Core)をご利用いただき、システムの健全化を図っている。

MP社様でCPE Coreを採用いただいた理由として、下記の特長があげられる。

  • BBSecで基本登録をした後は、ユーザー管理者様ご自身でユーザー/プロジェクトの追加が可能なため、メンバー変更に即時対応ができる
  • プロジェクト単位でユーザーの制限が可能なため、関係者以外に不要な情報開示がない
  • ソフトウェアの脆弱性に加え、品質チェックが可能である
  • 複雑な設定が不要で、ZIP圧縮したファイルをシステムにUPするだけでスキャンできる
  • Web上でレポートを確認可能で、BBSecのナレッジを反映させた診断レポートをWebから出力できる

サービスの概要

特にMP社様のようにサービスが多様化し、プロジェクトを多く抱えている場合、内部体制に限らず、協力開発会社による開発も必要となってくるが、開発会社の品質にばらつきが出てくることも少なくない。しかし、 CPE Core のソースコード自動診断では、内部構造を考慮して検査するため、稀にしか実行されない箇所の脆弱性や、すぐには悪用できないものの、潜在的に脆弱である部分についても、実装工程で検出することが可能である。実際、情報セキュリティの専門家による世界的にきわめて影響力の高いWebアプリケーションのガイドライン「OWASP Top 10:2021」の中には、ソースコード診断のほうが見つけやすい項目も存在する。
さらには、問題部位を特定し対策案を提示するため、開発担当者のスキルに依存しない、脆弱性を作り込まない開発が可能となるのが大きなメリットであるという。

サービスの概要

逆に、検出数が多くなりすぎるというデメリットを感じることもあるという。CPE Coreでは品質チェックも同時に行われるため、セキュリティを含めて品質上の問題となるバグも検出され、結果的に検出数が増えることになる。しかし、脆弱性と品質上の問題は明確に区別されて報告されるため、自社のポリシーに従ってどの部分を許容するのか、許容した場合の代替策はどうすべきかについても対策が立てやすいという。

開発者自身が任意の段階で診断可能

先に述べたように、ポータルには3種類のユーザー権限が用意されており、プロジェクトごと操作/アクセスを限定することが可能だ。プロジェクトごとに担当者を登録しておけば、開発会社のメンバーが直接、開発のどの段階からでも診断できる。

サービスの概要

また、パッケージごとに診断が可能であるため、サーバ側とクライアント側で複数回、別個に診断することも可能だ。

サービスの概要

万が一、脆弱性を作り込んでしまった場合でも、システムライフサイクルの早い工程で修正することができるため、手戻りリスクが軽減され、工期の圧縮にも貢献できる。一般的に下流工程での脆弱性の検出による手戻りは上流工程での検出と比較して修正コストは平均15倍、時には100倍近くにもなるといわれている。

事業拡大に欠かせないセキュリティ意識向上と人材教育

MP社様では今後のさらなる事業拡大においては、自社従業員を始め協力会社も含めた現場のセキュリティ意識向上を強く意識しているという。そのためには継続されたセキュリティ啓発活動と、セキュリティ人材の教育が欠かせない。プログラミングを行う開発エンジニアには、CPE Coreの診断結果をセキュアコーディングの勉強題材として利用するなどの試行を進めている。

一方で、セキュリティ技術は日進月歩のため、担当者は常に新しい情報の収集が欠かさず行っているものの、システム開発の現場では往々にしてリソースが限られ、通常業務と並行しての情報収集となることから担当者の負荷増大となっている。全社をあげてのセキュリティ教育とともに、CPE Coreの活用により運用担当者の負荷軽減についても期待しているという。

MP社様からは、セキュリティのあらゆる相談に誠実にお応えしていくBBSecの姿勢をご評価いただいている。限られたリソースでより高いパフォーマンスを発揮していただくためにも、トータルなセキュリティサポートのメリットを感じられるサービスを引き続きご提供していく。

<会社情報>

会社名: 株式会社メタップスペイメント
URL: https://www.metaps-payment.com/
1999年3月創業。決済代行事業として、クレジットカード決済、コンビニ決済、電子マネー決済等の各種決済を行う決済プラットフォームの提供の他、事業者に対してキャッシュレス導入を促進するパッケージシステム、事業者の従業員に対する福利厚生となる給与即時払い(CRIA)サービスなど、多様なサービスを展開している。

<関連サービス>

本事例でご紹介したサービス: ソースコード自動診断 Cracker Probing-Eyes® Core
運用の負荷軽減対策: 脆弱性情報提供
セキュリティ教育: 企業向けセキュリティ訓練

※記載の情報は2023年8月現在のものです。
※文中の社名、製品名は各社の商標または登録商標です。

*1 「キャッシュレスビジョン」/経済産業省/2018年4月
*2 2022年のキャッシュレス決済比率を算出しました(METI/経済産業省)/経済産業省/2023年4月/