ニッセン・クレジットサービス株式会社様 Secure Coding Checker事例

メルマガ登録する

メルマガ登録する

アプリの「使い勝手の向上」と「セキュリティの確保」を
両立するために

ニッセン・クレジットサービス株式会社（以下、ニッセンクレジット）は、通信販売大手のニッセンと新生銀行によるジョイントベンチャーとして、クレジットカード事業を展開している。クレジットカードの「マジカルクラブTカードJCB」の会員向けに、利用明細や獲得ポイントの案内、キャンペーン情報の配信など各種会員サービスを提供する公式スマホアプリ「ニッセン・クレジットサービスアプリ」を展開している。

ニッセンクレジットは今回、ラックが提供するアプリ診断サービス「セキュアコーディングチェッカー」を導入した。ニッセンクレジットにてスマホアプリやWEBサービスの企画・運用を担うWEBソリューション部の櫻井氏と曲田氏の2人に、セキュアコーディングチェッカー導入について話を聞いた。

アプリの機能改善のスピードを止めないために

「顧客にアプリを継続利用してもらうには使い勝手がよくなければならない。そのためには、クイックに機能向上（バージョンアップ）を行っていく必要がある。一方で、アプリに改編を加えるということは開発の不備などにより脆弱性が入り込む余地もできるということ。このため、たとえ軽微なバージョンアップであってもアプリ公開前に脆弱性診断を行うことが必要と考えている」（櫻井氏）

しかしながら、（セキュアコーディングチェッカー導入前は）専門の脆弱性診断業者に診断を依頼していたこともあり、時間もコストも嵩み、それがバージョンアップの頻度の抑制にも繋がりかねない状況であった。そこで、自社でクイックに診断できるツールとの併用を指向し、いくつかを比較検討した上でラックのセキュアコーディングチェッカーの導入に至ったという。

いつでも、何度でもフットワーク良く診断できる

選定理由として「セキュアコーディングチェッカーはまずいつでも、何度でも、コストを気にせず、フットワークよく診断できること」（櫻井氏）を挙げる。「年間の利用料のみで診断回数に制限がないため、脆弱性診断のハードルが下がった」現在では、軽微な修正をおこなった際やアプリで採用しているミドルウェア等に新たな脆弱性が報告された際などはセキュアコーディングチェッカーで診断し、大規模改修時や1年に1度のヘルスチェックの際には専門業者による診断を依頼するというように使い分け、アプリの使い勝手向上と、セキュリティ確保の両立を実現している。

「診断結果がわかりやすい」「APKファイルの状態で診断できる」

その他にも好印象を持った点があるとのこと。「診断結果が重要度毎に区分けされ、対処すべきものが一目瞭然でわかります。また修正方法も合わせて提示されるため、エンジニアと対処策を協議する際もスムーズに進みます。他社のソースチェッカーのように全て英文であったり、直訳のような日本語であったりといったこともありません」と櫻井氏。

また、曲田氏は、ソースの段階でしか診断できないツールが多い中で、セキュアコーディングチェッカーはAPKファイルになった状態で診断できることを評価する。さらに「想定以上に診断範囲が広く、新たな発見もあった」と指摘する。廉価な利用料にも満足しているという。他社製品と全く同じではないので精緻な比較はできないものの「利用料の低さは抜きんでているように思う」と櫻井氏は話している。

「セキュアコーディングチェッカー」で妥協なき安全性を追求

「軽微なバージョンアップなら脆弱性診断を実施せずにアプリをリリースする企業も多いようですが、我々は金融サービスということもあり、それは避けたかった」と櫻井氏。脆弱性診断をいつでも気軽に実施できるようにすることで、アプリの機能改善にもフットワークをもたらしたセキュアコーディングチェッカーを、ニッセンクレジットはこれからも活用していくとしている。