ユーザー事例 CASE STUDY

ふるさと納税サイトの雄、「さとふる」

さとふる様は2014年創業。以来、ふるさと納税サイトの運営を中心に事業を拡大している。2019年には取り扱い自治体が700を超えた。

2021年の「Gomezふるさと納税サイトランキング2021」においてはコンテンツと機能・安定性と信頼感という二つのカテゴリーで1位を獲得し、総合1位。サイトの使い勝手の良さ、安心感では定評がある。さらに他のふるさと納税サイトと比較しても支払方法の多彩さが際立っている。
そんなさとふる様のWeb開発を陰でご支援しているのがBBSecの脆弱性診断SQAT^Ⓡとソースコード自動診断「Cracker Probing-Eyes^Ⓡ Core（以下、CPE-Core）」だ。

シフトレフトで手戻りリスク軽減、工数見積もりが楽になる

ふるさと納税サイトでは、季節ごとのキャンペーンや災害支援ページなど、短期間での開発を余儀なくされる機能も多い。CPE-CoreはアプリケーションのソースコードをCPE-Core専用のポータルサイトにそのまま圧縮／アップロードするだけで、ソースコードの脆弱性と品質の診断を行える自動分析ツールであり、開発段階のソースコードに対して、自社内で診断ができるのが大きなメリットだ。

コンパイル前の単体コードや個々のモジュール、部分的なアプリケーションなどでも診断可能で、しかも繰り返し診断可能である。実際、さとふる様では1つのプロジェクトで複数回のチェックを実施されることは珍しくない。また、1回に10万ラインを超えるチェックをされたこともある。開発中プログラムのステップ毎の脆弱性や品質検査、また追加開発プログラムと既存プログラム連携などに活用することで、手戻りリスクが大幅に軽減されるため、短納期の開発でも無理のないスケジュールが組める。脆弱性だけでなく、ソフトウェア品質も同時に評価できるのがCPE-Coreの強みだ。

また、プロジェクトやパッケージごとにメンバを登録することができるため、複数の協力会社に開発を委託している場合でも、必要な部分の結果のみを開示することができるのもCPE-Coreの大きな特徴だ。さとふる様では複数の外注先も含め、数十名分のアカウントを発行されている。複数のユーザー管理者・プロジェクト管理者を立てることができるため、社内のプロジェクトを同時にいくつも並行して診断することも可能だ。

CPE-Core特長

リリース判定に速報を活用

さとふる様では開発段階でCPE-Coreをご利用になるほか、リリース前にはSQAT脆弱性診断でセキュリティの確保を図っている。BBSecでは、あらかじめさとふる様のリリース予定を伺って診断スケジュールを確保しており、BBSec営業がこまめに担当者様と連携することで、開発の遅れがあった場合でも対応できるよう準備している。

また、危険度の高い脆弱性が検出された場合、当日中に速報を提出している。そのため、早い段階の修正が可能であり、また、脆弱性一覧を速報ベースでお渡しすることで、社内品質判定会議に役立っているとご担当者様に好評だ。

この他、さとふる様では運用段階での差分診断もご利用になるなど、システムのライフサイクルのあらゆる段階でのセキュリティのお手本のような組み合わせで、サイトのセキュリティを確保している。

利用者の機微情報や自治体の納税にかかわる重要な情報を扱うサイトだからこそ、万全の体制で臨む。さとふる様のそうした姿勢が、機能の安定性や信頼性につながっている。

「ふるさとの魅力とITのチカラを”フル”に活用し、地域活性化事業を推進いたします。」というさとふる様の企業理念に沿って、セキュリティのチカラも“フル”に活用されている。

＜会社情報＞

会社名：	株式会社さとふる
URL：	https://www.satofull.jp/
2014年創業。「ふるさとを元気に。」を企業理念に掲げ、主力事業である「ふるさと納税」は700自治体と協力し、地域社会と人々の暮らしを結び付けている。 さらに、地域の未来に焦点を当て、永続的な地域の活性化につなげていくことを目指し、さまざまな事業を展開している。

※ 記載の情報は2022年2月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。

(＊)「ふるさと納税に関する現況調査（令和4年度実施）」総務省
https://www.soumu.go.jp/main_sosiki/jichi_zeisei/czaisei/czaisei_seido/furusato/file/report20220729.pdf