コンテンツへスキップ

導入事例Case Study

ホーム » 事例紹介 » 第三者診断でシステムの堅牢性を再確認(株式会社アクセスネクステージ)

第三者診断でシステムの堅牢性を再確認(株式会社アクセスネクステージ)

業界: IT・SaaS・スタートアップ

利用サービス: ペネトレーションテスト

企業の新卒・若年者の採用支援を行う「人財ソリューション事業」と、大学など教育機関の広報や運営支援を行う「教育機関支援事業」を展開する株式会社アクセスネクステージは、自社システムの信頼性と環境の堅牢性を第三者の視点で検証するため、CyberCrewのペネトレーションテストサービスを導入しました。

株式会社アクセスネクステージについて

株式会社アクセスネクステージは、「わたしたちは、人や社会をベストな未来に導くために、心の通うメディアとコミュニケーションの場を創造します。」をミッションに掲げ、一般企業、教育機関、官公庁や自治体を対象に、人と社会をつなぐ実務支援およびコンサルティングを多角的に展開されています。

特に、企業と求職者、教育機関と受験生をつなぐプラットフォーム事業では、大量の個人情報や機密情報を取り扱っており、その保護は同社にとって極めて重要なテーマです。利用者に安心してサービスを提供できるよう、技術面・運用面の両方からセキュリティ強化に積極的に取り組んでいます。

イントロダクション

トータル支援を通じた全国展開とセキュリティ強化の背景

アクセスネクステージは、東京・大阪・愛知・福岡・北海道を拠点に全国展開する法人向けサービスを展開。グループ全体で培った実績とノウハウを強みにクライアントのビジネス成長をトータルで支援しています。

大学キャリアセンターとのリレーションが強く、学生と企業のベストなマッチング機会を創出する体制が整っています。教育機関支援事業でも、長年の知見を活かして入試広報や学校運営に関する総合サポートを行っており、戦略と実行の両面からクライアントと向き合う「中長期的なパートナー」である点が特徴です。

こうした取り組みのなかで、「本当に自社のシステムは堅牢なのか?」「想定通りのセキュリティが実現できているのか?」という疑問をクリアにするべく、同社では第三者視点の導入を決意。役員としてセキュリティ戦略を推進する糸井氏を中心に、全社的な情報セキュリティの底上げに向けて、CyberCrewのペネトレーションテストを導入されました。

クライアント情報・ユーザー情報を扱う責任と、想定通りの堅牢性を“証明する”必要性

業務システムが担う“信頼性”への責任

アクセスネクステージでは、企業の人材採用情報と求職者情報、教育機関の学生募集情報と受験生情報を扱うウェブサイトを企画・開発・運用しています。そのなかには、クライアント情報・ユーザーデータなど、サービスや企業の信頼に直結する重要な情報資産が日常的に扱われており、それらを適切に保護することは当然の責務と認識されています。

“備えているつもり”から“証明された安全”へ

こうした責任感のもと、社内では従来から設計段階でのセキュリティ配慮や、運用保守体制の構築など、できる限りの対策を講じてきました。しかし一方で、どれだけ内部で“対策できているつもり”であっても、「それが本当に攻撃に耐えうるのか?」「想定通りに堅牢な構成になっているのか?」といった不安は常に拭いきれずにいたといいます。

そのような中で、今回のペネトレーションテスト実施は、単なるリスク洗い出しではなく、「設計通りの安全性が確保できていることを、客観的に証明する」という意味を持った取り組みとして位置付けられました。

さらに、セキュリティ対策を強化するうえで最も重要とされるのが、“万が一”に備える視点です。同社では、万が一のインシデント発生時にもスピーディに対応できる体制を整えておくことが、取引先との信頼関係を維持するために欠かせないと判断。事前に自社のリスク状況を把握し、対策を立案構築することが、今回の検討背景にありました。

つまり、今回のテストは単に防御力を試すだけではなく、「信頼される体制であることを社内外に示す」ことと、「継続的な運用体制の改善につなげる」ことの両面を見据えた先手のアクションだったのです。

導入効果①:想像以上の堅牢性を第三者視点で裏付け、現場が得た“新たな気づき”

社内プロセスの有効性を第三者から再確認

ペネトレーションテストの結果を受けて、アクセスネクステージでは「思っていた以上に、堅固なシステム構成であったことを再確認できた」と手応えを口にされました。これまで社内で重ねてきた設計・実装・レビューのプロセスが、プロフェッショナルの目から見ても“堅牢である”と認められたことは、技術・開発チームにとっても大きな自信となりました。

とりわけ、テストの目的として掲げていた「想定通りの堅牢性を確認したい」というニーズに対して、明確な裏付けが得られたことは今回の導入で最も大きな成果のひとつです。いわば、「備えているつもり」を「備えていると証明された」に変える、信頼の担保と安心の獲得につながる体験だったと言えます。

予想外の観点から得られた示唆

一方で、想定外の“気づき”も得られたことが、さらに大きな収穫でした。

テスト中に指摘された項目の中には、自社ではリスクとは捉えていなかった箇所も含まれており、「こういうケースもあるのか」と、第三者視点ならではの観点から学びを得たとのことです。例えば、ログ出力に関する設定や細かなセッション管理の扱いなど、実装上は妥当と思われていた箇所においても、診断の視点では“攻撃の糸口”として見なされる可能性があることに気づかされたそうです。

このような新たな視点は、単にセキュリティ強化にとどまらず、開発チーム全体の“設計思想そのもの”を見直すきっかけとなり、組織としての学びの幅が一段と広がる効果をもたらしました。

結果として、アクセスネクステージは今回のテストを、「単なる検査」ではなく、「実践的なセキュリティ研修のような機会」としても捉えており、全社的に有意義な投資だったと位置付けています。

導入効果②:具体性・網羅性・実用性を兼ね備えたレポートが、改善アクションを加速させる

即行動につながるレポート構成

ペネトレーションテストの成果物として提出された診断レポートについて、アクセスネクステージは「非常に満足度が高かった」と率直に評価されています。レポートは単なる結果の羅列ではなく、指摘内容に対する背景・影響・再現方法・推奨対応策が体系的に整理された構成となっており、そのまま社内の改善タスクに落とし込めるレベルの実用性がありました。

特に高く評価されたのは、以下の2点です:

  • リスクの深刻度分類と対応優先度の明示
    レポートでは、検出された各脆弱性について「リスクレベル(高・中・低)」が明確に付されており、技術的な影響範囲や、攻撃者に与える影響も併せて可視化されていました。さらに、それぞれに「推奨される対応方法」や「どの順番で着手すべきか」という優先順位が提示されており、次のアクションへ移る判断が非常にスムーズに行えたとのことです。
  • 技術チームが即時対応可能な具体的な再現手順の記載
    実際の再現ステップ(ツール・入力値・画面遷移等)が詳細に記載されていたため、開発や運用を担当する技術者にとっても、余計な補足や翻訳を加えることなく、そのまま対応タスクへと落とし込めたといいます。

これらの特徴により、レポートは「報告書」というよりもむしろ「改善計画書」に近い性質を持っており、セキュリティ強化の実務を後押しする“行動指針”として機能したのです。

非技術者にも伝わる工夫への期待

一方で、今後に向けた要望として、「各指摘項目の冒頭などに、非技術者でも概要をつかめるような簡易サマリーがあると、より一層活用の幅が広がる」といったフィードバックもいただいています。特に経営層やセールス部門など、技術に馴染みの薄い関係者に説明する際に、“重要性”や“診断を行った意義”が伝わりやすくなる工夫があれば、組織全体のセキュリティ意識の底上げにもつながるとのご意見でした。

このように、アクセスネクステージでは、ペネトレーションテストを通じて得られたレポートを、単なる証跡として保存するのではなく、“改善ドライバー”として積極的に活用する姿勢が明確に見て取れます。

継続的な改善と、信頼を支えるセキュリティ体制へ

セキュリティ文化の醸成と学び

今回のペネトレーションテストを通じて、アクセスネクステージでは、開発・運用チームにおけるセキュリティ意識の醸成はもちろん、「第三者の視点を通じた検証こそが、本当の意味での安心につながる」という共通認識が組織全体に広がったといいます。

とくに、“安全なはず”と考えていた構成や処理が、実際には攻撃者にとっての“入口”になり得ると気づけたことは、非常に大きな学びだったとのこと。これは、自社内だけの視点では決して得られなかった気づきであり、第三者による実践的な診断を通じて初めて明らかになったものでした。

中長期を見据えた取り組みの方向性

診断後は、レポートに基づいた改善タスクの実行と並行して、今後の体制強化に向けた議論も進んでいます。具体的には、

  • 開発プロセスの中にセキュリティチェックを組み込む体制整備
  • システムリリース前の診断やレビュー体制の標準化
  • セキュリティインシデントを想定したBCP(事業継続計画)との連携

といった中長期の取り組みを視野に入れながら、単発のテストで終わらせず、定期的に“健康診断”を受ける感覚でセキュリティを見直していくサイクルを構築しようとしています。

糸井氏からのメッセージ

「“安全性”を“確信”に変える一手として、ペネトレーションテストは非常に有効でした」

「セキュリティは“対策しているつもり”ではなく、“実際にどうなのか”を確認することが重要だと改めて感じました。第三者の専門的な視点が入ることで、私たちのシステムがどのように評価されるのか、そしてどこをどう改善すべきなのかが明確になります。」

「ペネトレーションテストは、単に“悪いところを指摘される場”ではなく、組織としてどれだけの防御力を持っているかを証明し、さらに改善につなげるための前向きな取り組みです。“セキュリティ対策を何から始めるべきか分からない”という企業こそ、ぜひ一度試してみてほしいと思います。」

会社概要

項目 内容
商号 株式会社アクセスネクステージ
URL http://www.access-t.co.jp/nx/
事業内容 人財ソリューション事業、教育機関支援事業

この事例で活用されたサービス

ペネトレーションテスト

ペネトレーションテストとは、実際の攻撃者の視点で疑似的なサイバー攻撃を行い、システムやアプリケーションの脆弱性を発見・評価するセキュリティ診断手法です。

セキュリティ製品の有無に関係なく、「本当に防げるか」「攻撃が成立するか」を検証することで、形式的な安全性ではなく“実効性のある防御”の確立を目指します。

サービス詳細へ


Page Top

Copyright © CyberCrew inc. All rights reserved.