日本初の株式投資型クラウドファンディングサービスを展開する株式会社FUNDINNOは、情報漏洩や不正アクセスのリスクを検証するために、CyberCrewのペネトレーションテストサービスを導入しました。

株式会社FUNDINNOについて

FUNDINNOは、日本初の株式投資型クラウドファンディングサービスを展開するフィンテック企業です。未上場企業と投資家をつなぐ証券取引プラットフォームを提供しており、国内スタートアップ市場の活性化を目指す先進的な企業として注目されています。

イントロダクション

共同代表の柴原祐喜氏と大浦学氏が率いるFUNDINNOの経営体制は、金融・IT両分野のプロフェッショナルが集い、事業を力強く推進しています。組織内には、プロダクト開発からセキュリティに至るまで機能ごとに分業体制が敷かれ、それぞれの専門性が最大限まで活用されています。

重要課題であるセキュリティ領域を担うのが、セキュリティ本部長の大西氏が率いる専門チーム。大西氏は、楽天やLINEといった名だたる大手IT企業で経験を積み、FUNDINNO社でも、160台の業務端末へのEDRを導入など、戦略的かつ実務的な施策で、組織の防御力を高めてきました。

証券業では、法令順守やセキュリティ監査など外部からのチェックも厳格に求められます。だからこそ、盤石なセキュリティ体制を構築し、社内外からの信頼を確立することが、経営の最重要課題です。

本記事では、FUNDINNOのセキュリティ牽引する大西氏に、ペネトレーションテスト導入の背景、そして実施後の成果について、詳しくお話を伺いました。

背景：脆弱性対策の遅れと“何をすべきか分からない”課題

FUNDINNOでは、事業の成長に伴い、顧客基盤の拡大や金融機関との連携が進む中で、情報セキュリティの強化が避けては通れない経営課題となっていました。投資家情報や資金移動に関わる機密データを多数扱う事業の性質上、システムの安全性は企業の信用に直結します。しかしながら、社内ではこれまで“属人的”な対応や“後追いの対策”に頼っていた部分も多く、統一されたセキュリティ方針や標準的な対策プロセスの整備が急務となっていました。

このような背景のもと、2022年9月に現セキュリティ本部長の大西氏が入社されました。大西氏は、元々エンジニアとしてキャリアをスタートされ、その後、株式会社フィードフォースでの上場準備、楽天やLINEといった大規模IT企業におけるセキュリティと開発マネジメントの両立経験を経て、FUNDINNOに参画された人物です。

課題：不十分なリスクアセスメント

入社後すぐに目の当たりにしたのは、社内システムやプロダクトに対して脆弱性検査を実施する余地があるという事実でした。外部ユーザーを抱える公開サービスを提供しているにも関わらず、脆弱性検査を継続的に実施されていない状態は、セキュリティの専門家として深刻に受け止めざるを得ないものでした。

一方で、社内にも「セキュリティ対策が必要である」という認識は確実に存在していました。役員・開発チーム含め、多くの関係者がリスクを感じていたものの、「何を優先して、どのような対策をすればよいか」という判断基準が不明確で、結果的に実行に移せない状況が続いていたのです。

課題：セキュリティ投資の優先度と予算の確保

さらに、具体的な対策を検討しようにも、予算の確保という壁がありました。大西氏が見積もっていたセキュリティ予算は、他施策に割り振らざるを得ず、脆弱性検査の着手が後回しにならざるを得ない時期が続いていました。

このように、必要性は認識されているにも関わらず、実行に至らない。情報システム部門の多くが直面する典型的なジレンマに、FUNDINNOもまた直面していたのです。

決め手は 『“今やるべきだ”と判断するには十分すぎる条件』

脆弱性検査を実施する必要があるという喫緊の課題を認識しつつも、人的リソースや予算の制約から、なかなか一歩を踏み出せずにいたFUNDINNO。そうした中で、大西氏が情報収集の一環として検討されたのが、当社のペネトレーションテストサービスでした。

最初はあくまでも「相場感を知るために見積もりだけ取っておこう」といった軽い気持ちだったと、大西氏は当時を振り返ります。セキュリティ対策の一環としてペネトレーションテストの実施が有効であることは理解していたものの、費用や準備負担、報告書の質などが自社のニーズに合うかどうかには半信半疑な部分もあったといいます。

想像以上の好条件で、即決──「今やるべき」と判断できた理由

しかし、実際に提示された見積もりと提案内容を確認した瞬間、大西氏の意識は大きく変わりました。

「正直、もっと高額になると思っていました。けれど、想像以上に現実的な金額で、しかもこちらの準備工数を極力減らしてくれる体制が整っていた。これは“今やるべきだ”と判断するには十分すぎる条件でした。」

と、大西氏は導入の意思決定に至った背景を語ります。

経営陣も“今こそやるべき”と即応──社内調整もスムーズに完了

社内調整においても、大きな障壁はありませんでした。共同代表である柴原氏・大浦氏をはじめ、経営陣にもセキュリティの必要性が広く共有されており、「ちょうど今、それをやるべきタイミングだよね」と、むしろ歓迎されるかたちで承認が進みました。

特に大浦氏とは以前からの信頼関係があり、経営・開発・セキュリティといった部門の垣根を越えた意思疎通が可能だったことも、導入決定を後押しする大きな要素となりました。

外部への“実施実績”の提示も、導入の後押しに

また、単に「脆弱性を見つけて終わり」ではなく、外部に対しても「自社が第三者による実践的なセキュリティ検証を実施している」という事実を示すことができる点も、大きな意義を持っていました。

このようにして、FUNDINNOにおけるセキュリティ対策は、偶然と必然が重なったかたちで加速。思いがけず好条件で出会ったペネトレーションテストの提案が、これまで止まっていた社内の意思決定を一気に動かす結果となりました。

導入効果①：わずか1～2日、最小限の社内工数で完了

FUNDINNOが当社のペネトレーションテストを実施して最も大きく感じられた効果のひとつが、「自社側の負担が驚くほど少なかった」という点でした。

通常、ペネトレーションテストの準備には、多くのドキュメント整理や調整業務が発生します。とりわけ、サイトマップの作成や診断対象の特定、社内開発チームとのやりとりなど、関係部門を巻き込んだ広範な調整が必要となるため、数日〜1週間以上の準備期間を要するケースが一般的です。

しかしながら、当社のペネトレーションテストでは、これらの業務のほぼすべてを当社側で代行。診断対象の洗い出しや、攻撃シナリオの設計、対象範囲の妥当性チェックなども含め、ヒアリングに基づいて迅速かつ的確に対応したことで、FUNDINNO側の準備作業はわずか1〜2日、総工数で約16時間程度に収まりました。

「今までで一番楽でした。本当に助かりました」と語る大西氏の言葉からも、その省力化のインパクトの大きさが伺えます。

さらに、開発部門への影響が一切なかったことも、社内的に大きな評価ポイントとなりました。通常、開発チームを巻き込んだセキュリティ対策は、リソース不足や優先順位の関係で“後回し”になりがちですが、今回はその懸念も不要。運用・セキュリティ側だけで完結できた点は、FUNDINNOにとって理想的な導入体験でした。

導入効果②：信頼性と説得力を備えたレポートが、社内外の安心材料に

診断後に提出されたレポートに対しても、FUNDINNOからは高い評価をいただきました。

まず、指摘事項が適切な粒度で整理されており、専門知識のない経営層にも分かりやすく伝えられる構成である点が印象的だったといいます。よくある技術者向けの“詳細すぎる”内容とは異なり、実際に外部へ提出できる品質の報告書が初期状態で提供されたことで、追加資料の作成や説明工数がほぼゼロで済んだことも大きなメリットでした。

また、レポートには脆弱性そのものの説明だけでなく、その背景にある攻撃手法や侵入の可能性、潜在的な被害の範囲まで明記されており、単なる結果報告にとどまらない「気づき」を得られる内容だったと大西氏は語ります。

ちょうど監査対応が求められていたタイミングと重なったこともあり、「今まさにこのレポートを提示できてよかった」と実感される場面があったそうです。監査等との連携において、“通知なく突然入るチェック”にも対応できる状態であったことが、FUNDINNOの事業運営において大きな安心感と信頼性向上につながりました。

導入効果③：明確なアクションにつなげる“可視化ツール”

最後に、今回のペネトレーションテスト導入によって、FUNDINNOが最も強く実感されたのは「価格以上の価値」だったといいます。

「レポート費用も含めてこの金額？というくらい、正直驚きでした」と大西氏が語るように、コストパフォーマンスという言葉では表現しきれない、“納得感”と“満足度”のあるサービスだったことが伺えます。

また、診断によって明らかになった脆弱性の多くは、すでに現場で「なんとなく気になっていた」領域でありながらも、優先順位がつけられず、対応が先送りになっていた項目でした。つまり今回のテストは、漠然とした不安を、明確なアクションにつなげる“可視化ツール”として機能したのです。

さらに、事前に懸念していた項目が問題なかったことが確認できたことで、過剰な対策を回避できるという逆の安心感も得られたといいます。「本当に検査して良かった」との言葉には、対外的な信頼だけでなく、社内チームにとっての安心感の獲得という、見えにくいけれど重要な成果が込められていました。

「“やるべきこと”を、“やれる形”で提案してくれた」

最後に、同様の課題を抱える企業に向けて、大西氏は次のように語ってくださいました。

「どの企業も、“やらなければならない”ことはわかっているんです。問題は、“どうやればいいのか分からない” “社内で進められるリソースがない” という部分。今回のペネトレーションテストは、そこを明確に突破させてくれたサービスでした。」

「特に印象的だったのは、準備にかかる工数が非常に小さいこと、そして自社では気づきづらい脆弱性や優先度の高い対策を客観的に教えてくれるという点です。それが、社内で“やるべき対策”を“やれる形”に変えてくれた、非常に価値ある体験でした。」

FUNDINNOのように、セキュリティ対策の必要性は認識しながらも、社内のリソースや判断軸の不在により着手が遅れている企業は少なくありません。今回の事例は、どのようにして一歩を踏み出すか、そして“動かせる仕組み”をどう整えるかのヒントとして、多くの企業にとって参考になるのではないでしょうか。

会社概要

項目	内容
会社名	株式会社FUNDINNO（英文社名 FUNDINNO,Inc.）
URL	https://fundinno.com
事業内容	第一種少額電子募集取扱業務　FUNDINNO(ファンディーノ) の運営業務 第一種金融商品取引業　FUNDINNO MARKET（ファンディーノマーケット）の運営業務 FUNDOOR（ファンドア）の運営業務＜子会社：株式会社FUNDINNO GROWTH＞ 企業の成長支援コンサルティング及び人材紹介業

この事例で活用されたサービス