今回は、IT資産管理、営業支援（SFA）、AI-OCRの分野でソリューションを提供する株式会社ハンモック様をご紹介します。

同社がCyberCrewのペネトレーションテストを導入した背景や具体的な成果について、書面にて詳しくお答えいただきました。サービス選定の決め手から、テストで得られたリアルなご感想、そして今後の展望まで、詳しくご紹介いたします。

1．なぜ当社のペネトレーションテストを受けてみようと思いましたか？

ご担当者様よりご紹介をいただき、他社のテスト内容や費用と比較した結果、リーズナブルであると判断し、お願いすることにいたしました。

お客様から「リーズナブルであると判断し」というお言葉をいただけたのは、弊社のサービスが目指す方向性が伝わった結果だと感じています。CyberCrewでは、より多くのお客様にペネトレーションテストを導入していただくため、高品質ながらもリーズナブルな価格設定を心がけています。

また、ホワイトハッカーが実際に在籍しており、その専門知識と高い技術力で、お客様のセキュリティ向上に貢献できると自負しております。テスト内容についても、OWASPをはじめとする各種ガイドラインに準拠しているため、客観的にも信頼性の高い診断を提供しています。お客様が他社と比較された上で弊社を選んでくださったのは、こうした価格と品質のバランスを総合的に評価いただけた結果ではないかと考えております。

2．受けてみていかがでしたか？率直なご意見いただければ幸いです。

ペネトレーションテストとしては、費用がリーズナブルであり、実施までの手間や期間も少なく、スムーズに進めることができたと感じております。

お客様から「実施までの手間や期間も少なく、スムーズに進めることができた」というお言葉をいただき、大変嬉しく思います。CyberCrewのペネトレーションテストは、お客様の負担をできる限り軽減できるようサービス設計を行っており、この点は多くのお客様からご好評をいただいています。

特に、事前の打ち合わせなどの準備が終われば、お客様にはレポートをお待ちいただくだけで、社内のリソースを大きく割くことなくセキュリティ状況を確認できる点が弊社の強みです。忙しい業務の合間を縫ってセキュリティ対策を進めたいお客様にとって、このようなスムーズな進行と手軽さが評価いただけたのだと思います。

2.1　例えば、ペネトレーションテストに対する御社の準備は大変でしたか？当社側からのご説明は足りていましたか？

テストに向けた準備において、大きな手間は発生しませんでした。
ただし、テスト実施内容やテスト環境に関する条件などについては、もう少し詳しいご説明があるとより良かったと感じております。
例えば、他社では問診票のような形式で、テスト環境や実施項目の可否を事前に記入するケースもございます。

テストに向けた準備で「大きな手間は発生しませんでした」とのお言葉をいただき、お客さまの負担軽減に努めてきた弊社の努力が評価されたものと認識しております。

一方で、テスト実施内容やテスト環境に関するご説明については、さらなる改善の余地があるという貴重なご意見を頂戴しました。他社での問診票形式による事前確認といった具体的なご提案は、今後のお客さまとのコミュニケーションをより円滑に進める上で、非常に参考となる実例です。このフィードバックを踏まえ、お客さまに安心してテストを受けていただけるよう、説明内容や情報提供のプロセスを継続的に見直し、改善を進めてまいります。

2.2　システム環境における負荷や、説明が不足していたことによる混乱等はありましたか？

ペネトレーションテストの実施経験があったため、特に問題は発生いたしませんでした。

お客様がすでにペネトレーションテストの実施経験をお持ちである中で、弊社のサービスをご利用いただけたことは大変光栄です。これは、私たちが「他社サービスと比較しても良い」と感じていただけるようなサービス提供を目指している中で、非常に励みになるお言葉です。

ペネトレーションテストは一度きりの実施でなく、継続的なセキュリティ対策の一環として繰り返し行われるべきものです。そのため、テスト経験が豊富なお客様ほど、準備の手間や価格といった要素がサービス選定において重要なポイントになると認識しています。CyberCrewでは、そうしたお客様の視点に立ち、準備の手軽さやリーズナブルな価格設定が、長期的なご満足に繋がるよう、今後もサービスの質の向上に努めてまいります。

3．レポートについて伺います。レポートはご満足いただけるものでしたか？ご満足されている部分、不満足な点がありましたら仰っていただければ幸いです。

【満足点】
・実施項目が多岐にわたっており、網羅性が高く、多くの気づきを得ることができました。
・レポート報告時に詳細なご説明を頂き、対策手法についてもご相談をさせていただけた点が良かったです。
【不満点】
・一部のリスク評価について、やや厳しめの高い点数が付けられていると感じる部分がございました。

レポートにご満足いただけた点として、「実施項目が多岐にわたっており、網羅性が高く、多くの気づきを得ることができた」とのお言葉をいただき、大変光栄です。これは、弊社のペネトレーションテストが手作業による丁寧な診断と、幅広い項目をカバーする網羅性を特徴としていることへの評価だと受け止めております。また、「レポート報告時に詳細なご説明を頂き、対策手法についてもご相談をさせていただけた」という点も、お客様への手厚いサポート体制が評価された結果であり、ホワイトハッカーをはじめとした専門技術者が在籍している弊社の強みが活かせたと感じています。

「リスク評価が厳しい」との貴重なご意見、誠にありがとうございます。お客様のご懸念として、真摯に受け止めさせていただきます。

ご指摘のリスク評価は、世界共通の基準「CVSS（共通脆弱性評価システム）」に基づいて算出しています。CVSSでは、攻撃の容易さや、必要な認証レベル、ビジネスへの影響度など、複数の要素から深刻度が決定されます。これは、私たちの主観を反映したものではありません。

私たちは、お客様のセキュリティパートナーとして、攻撃者に先んじて危険な脆弱性を発見することを使命と考えております。決して「厳しい評価」そのものを目的とするものではなく、重大なインシデントを未然に防ぐための、価値のある「機会」のご提供であると考えております。

今後も、客観的な評価に基づき、お客様が安心して事業を推進できるようセキュリティ強化のご支援に努めてまいります。

3.1　指摘ポイントについて想像されていたものでしたか？

概ね想定内の指摘内容でしたが、CSVファイルの出力内容にまで踏み込んだご指摘をいただいた項目については、想定外であり、新たな気づきを得ることができました。

お客様から「CSVファイルの出力内容にまで踏み込んだご指摘をいただいた項目については、想定外であり、新たな気づきを得ることができました」とのお言葉をいただき、大変光栄です。これは、弊社のペネトレーションテストがホワイトハッカーならではの視点で診断を行っていることの証だと考えております。

一般的なツールによる診断では見過ごされがちな、こういった深掘りした指摘は、お客様からも「新たな気づきが得られた」とご評価いただくことが多く、弊社のサービスの大きな特徴の一つです。お客様が気づかなかった細かな点にまで踏み込んでリスクを発見し、ご満足いただけたことは、私たちにとっても大きな喜びです。今後も、より実践的で価値ある診断を提供できるよう努めてまいります。

4．当社ペネトレーションテストを受けられて気持ちの上で、いまいかがでしょうか？

サービスのリリースに向けた短期間の中で、テスト実施のスケジュール調整を柔軟にご対応いただきました。
第三者によるテストを通じて、課題の抽出から対策の実行までつなげることができ、サービスの安全性を強化することができました。
そのため、実施した価値は高かったと感じております。

「実施した価値は高かった」というお言葉をいただき、大変嬉しく思います。お客様のサービスリリースという重要な局面で、短期間でのスケジュール調整にご満足いただけたこと、そして第三者視点でのテストが課題の抽出から対策実行までスムーズにつながり、サービスの安全性強化に貢献できたことは、弊社が最も大切にしている部分です。

CyberCrewのペネトレーションテストは、お客様の開発リソースを大きく割くことなくセキュリティ強化を図れる点が大きな強みです。サービスリリース時や大型アップデート時など、転換期にペネトレーションテストをご活用いただくことで、お客様は開発に集中し、より良いサービス作りに注力できる環境を支援できると考えています。

5．最後に今後当社ペネトレーションテストを受けようか迷っている企業担当者さまへお言葉いただければ幸いです。

システムの規模にもよりますが、比較的リーズナブルに実施いただけるサービスだと考えます。
また、レポート結果に対する具体的な対策方法についてもご相談が可能なため、重要なユーザーデータを扱うサービスにおいては、導入することで運営上の安心感を高めることができます。

「比較的リーズナブルに実施いただける」というお言葉をいただき、弊社のサービスが目指す価値が伝わったことを大変嬉しく思います。サイバーセキュリティは、万が一の損害や信用失墜を防ぐための、いわば「デジタル時代の保険」のようなものです。その重要性をご理解いただけたことに深く感謝いたします。

また、「重要なユーザーデータを扱うサービスにおいては、導入することで運営上の安心感を高めることができる」というお言葉は、まさに私たちが提供したい価値そのものです。漠然とした不安を抱えながらサービスを運営するのと、セキュリティ対策に自信を持って運営するのとでは、チーム全体の心理状態やパフォーマンスにも大きな差が生まれるでしょう。

「レポート結果に対する具体的な対策方法についてもご相談が可能」という点にご満足いただけたのも、弊社の強みです。今後も、お客様が安心してサービス運営に集中できるよう、技術サポート体制のさらなる強化を検討し、単なる診断に留まらない、真の安心を提供できるよう努めてまいります。

株式会社ハンモック様、事例公開へのご協力ありがとうございました！

今回の記事では、株式会社ハンモック様へのペネトレーションテスト実施後のアンケート結果内容をご紹介しました。

テストの導入から実施、そして結果に至るまで、多岐にわたる貴重なご意見を頂戴し、弊社のサービス向上に繋がる多くの学びがありました。特に、弊社の「リーズナブルな価格設定」や「手間の少なさ」、そして「ホワイトハッカーによる質の高い診断と手厚いサポート」といった点が、お客様の安心感やサービスの安全性強化に貢献できたことを、大変嬉しく思います。

お忙しい中、快く取材にご協力いただきました株式会社ハンモック様に、この場を借りて心より御礼申し上げます。いただいたご意見を真摯に受け止め、これからもお客様のビジネスをサイバーセキュリティの側面から力強く支援できるよう、より一層尽力してまいります。

会社概要

この事例で活用されたサービス