低コストでハイスペックな脆弱性診断を実施出来るサービス/SMBC GMO PAYMENT株式会社

「Webサイトのリスク診断に手間をかけず、低コストで脆弱性診断を導入することが出来ました。」

 

この度、2022年9月よりsecuasをご利用頂き始めたSMBC GMO PAYMENT株式会社の事務・システム部 次長の大井 雄人様と土門 春馬様にお話をお伺いしてきました。
SMBC GMO PAYMENT株式会社様は自社サイトの診断だけではなく、同社の決済代行サービスをご利用頂いているお客様(以下、加盟店様)からセキュリティ対策の相談を受けた際にsecuas(セキュアズ)をご紹介頂いております。

 

Q.貴社について簡単に教えてください

SMBC GMO PAYMENT(以下、弊社)は「2015年に三井住友銀行とGMO ペイメントゲートウェイの合弁によってスタートした会社で、インターネットでの決済(非対面の決済)の代行と、店舗での決済端末を提供している会社です。メインはクレジットカードの決済代行になりますが、コンビニ・ウォレット・キャリア決済などBtoC向けの決済からBtoB向けの決済など幅広く取り扱っております。特に通販サイトなどに導入をさせて頂いており、多くの会社様にご利用頂いています。

 

Q.セキュリティ診断が必要と感じたきっかけはなんですか?

経済産業省や日本クレジット協会からも発表されている通り、昨今カード情報漏えいが基となりカードの不正利用被害が非常に多くなっております。加盟店様にも機微情報を取り扱っていることを改めて認識していただき、自らセキュリティ診断できる必要性を感じていました。

参考:「クレジットカード決済システムのセキュリティ対策強化検討会」の報告書を取りまとめました 引用元 経済産業省

参考:クレジット関連統計   引用元 一般社団法人日本クレジット協会

参考:【最新版】2022年9月発表、クレジットカード漏えい事件による不正利用被害が過去最高額を記録。漏えい事件の本音を大公開。

 

Q.決済を導入している会社のセキュリティ対策の認識はどのように感じておりますか?

まだまだセキュリティに対して業界の認識は低いですね。皆様、危機感がないというかやはりご自身が機微情報を取り扱っているという自覚が少ない印象を受けます。
弊社としては、機微情報を取り扱っている以上、セキュリティは絶対と考えておりますし意識していかないといけない問題だと思いますが、加盟店様はどうしても売上を上げることに意識が向いてしまい、加盟店様のサイトが外からどのように見られているのかという意識をされてないように感じています。
セキュリティ対策を導入しなければいけないと思う加盟店様も、如何にお金をかけずにするにはどうすればいいかなどを考えられているので、なかなか導入に至らないケースもあると思います。
また、人の問題も多いと思います。そもそも、サイトのリスクを理解して問題に気が付ける人が少ないのも現状です。セキュリティエンジニアを採用すると人件費もかかりますし、昨今の採用難も考慮すると、加盟店様の多くがセキュリティ対策は後回しになっているのが現状だと思います。

 

Q.secuasを知ったきっかけを教えてください。

加盟店様にセキュリティ対策としてお薦め出来るサービスは無いかと探しており、secuasを紹介頂きました。前述した通り、セキュリティのご担当者もいない加盟店様が多いので
費用が安くて簡単でないと加盟店様もなかなかセキュリティ対策に着手いただけません。その辺の見極めが非常に難しいと考えておりました。

 

Q.secuasをご利用になられていかがでしたか?

非常にいいと思います。
まず、プランの中であれば何ページ実施しても定額で毎日診断してくれるということですね。ページが増えても自動的に診断してくれるところがありがたいです。
なかなか、この費用で毎日診断してくれるサービスはないので驚きました。
また、新しい攻撃パターンが発見されても自動で診断してくれるので、余計な設定が不要なのも、手軽でありがたいです。レポートに記載している対策方法を確認すれば、ある程度分かる人ならすぐに直していけるので運用も簡単です。

 

Q.今回の実施について懸念はございましたか

脆弱性診断を導入する際はシステムへの負荷を懸念していました。診断をするのはいいが、システムやサイトに負荷がかかって落ちてしまっては意味がないのです。しかしながら、今回secuasを実施させて頂いても特に問題なかったので安心しました。

 

Q.secuasがさらに良いサービスになる為へのアドバイスをお願い致します。

各会社やサービスによって異なるので大変難しいかもしれませんが、下記2点の啓発をお願いしたいと思います。
・脆弱性がどのようなリスクを引き起こすのか
・発覚した脆弱性に対応するための具体的な手順の記載
全く知識がない人でも、危機感を持つことができ、また、脆弱性への対応が迅速に出来るかと思います。

 

Q.セキュリティの導入を考えている企業にお伝えしたいことはありますか?

我々は、多くの機微情報を取り扱っているため、社会的責任として絶対に漏えい事件などは起こしてはいけないと強く考えております。
機微情報を多少でも保持している会社様は、自分たちのお客様を守り、会社及び自分たちを守るためにどのようにすればいいのかを考えたとき、secuasのようなサービスを導入し、セキュリティ意識を高めて頂きたいと思います。

この度はインタビューにご協力頂きまして誠に有難うございました。今後とも宜しくお願い申し上げます。