セキュリティ診断導入事例(クックパッド株式会社様)

クックパッド株式会社

月間6,000万人以上が利用する日本最大の料理レシピサービス「クックパッド」を対象に、毎月ペネトレーションテストを実施

クックパッド株式会社では、料理レシピサービス「クックパッド」を中心とした自社のWebサービスを対象に、継続的なペネトレーションテストをサイバーディフェンス研究所へ委託しました。毎月テストを実施し、常に高いセキュリティレベルを維持しています。

日本最大の料理レシピサービスへの信頼を失わないために

260万品を超えるユーザ投稿レシピを核とした、日本最大の料理レシピ投稿・検索サービス「クックパッド」。その利用者は20-40代の女性を中心に、月間6,000万人以上にのぼります(月次利用者数はブラウザベースまたは端末ベースにより集計)。
レシピを検索し、投稿し、料理を楽しみにするというサービスに、セキュリティという単語はあまり結びつかないかもしれません。しかし、「食」は人や生活に密接に関わるものです。Webサービスとして必要なユーザ情報などだけではなく、例えばレシピ検索のキーワードには「ダイエット」や「病歴」など、他人に知られたくない機微な情報が含まれることもあります。こうしたプライバシーに関わる情報も含め、大切なユーザからお預かりした情報を厳重に保護すべきと考えています。
万が一セキュリティ事故が発生すれば、ユーザはそのWebサービスに情報を預けることを控えるでしょう。ユーザだけでなく、取引先や広告主など、様々なステークホルダーからの信頼も失います。こうした事態は、自社の経営を揺るがすだけでなく、インターネットサービス業界全体へ与えるインパクトも計り知れません。セキュリティへの取り組みは、我々が果たすべき社会的責任でもあると認識しています。
一方で、国内サービスの強化や海外展開など、経営のスピードはこれまで以上に加速しており、それに伴い次々と生み出される新機能・新サービスに対してもセキュリティを確保しなければなりません。
そこで、クックパッドでは、セキュリティレベルを常に高いレベルで維持すべく、定期的なペネトレーションテストの実施を決定しました。

月1回の実施により高いセキュリティレベルを維持

サイバーディフェンス研究所との出会いは、日本を代表するWebサービス企業による紹介でした。研究開発活動にも取り組む確かな技術力に加え、セキュリティへの取り組みや想いを自分の言葉で語るエンジニアの人間性に魅力を感じ、サイバーディフェンス研究所にペネトレーションテストを委託しました。
サイバーディフェンス研究所によるペネトレーションテストは、人(エンジニア)による擬似攻撃です。ツールによる画一的な診断と異なり、想像を超えたパターンでの攻撃手法やテスト結果を得ることができています。また、担当のエンジニアから「何としても脆弱性を検出してやろう」という気概や人間味が感じられる点も印象的です。
新機能や新サービスを中心に、当初は年1回テストを実施していました。しかし、テスト実施後から翌年のテスト実施までリスクを積み上げられない、ビジネスを止められないと判断し、現在では月1回テストを実施しています。
クックパッドにとって、ペネトレーションテストは品質評価項目の1つであり、ソフトウェアテストと同様に扱うべきものです。ペネトレーションテストで得た情報をトリガーとして、セキュリティマネジメントのPDCAサイクルを運用しております。 また、社内ブログやエンジニアミーティングで情報共有もしており、知識・ノウハウを自社資産として蓄積するとともに、テスト対象外のサービスにおける脆弱性の発見にも活用しています。

サービスだけでなくバックオフィスのセキュリティも

グローバル展開をはじめ、スピードが求められる事業環境において、セキュリティリスクが経営のブレーキになってはいけません。サイバーディフェンス研究所はクックパッドのサービスを深く理解しており、また契約形態に関する柔軟な対応もあり、テスト対象の共有から範囲調整、テスト実施に至るまでのプロセスがスピーディーに進みます。これからもWebサービスを対象とした定期的なペネトレーションテストを、サイバーディフェンス研究所に継続してお願いしたいと考えています。
また、Webサービスだけでなく、オフィス内インフラのセキュリティも強化する必要があります。そこで、今後は内部ネットワーク診断(オンサイトでのペネトレーションテスト)もあわせて実施する予定です。
さらに、海外拠点の増加や、国内で進むワークスタイル変革に伴い、守るべきセキュリティの領域はオフィス外まで広がることが見込まれます。こうした新たな課題についても、サイバーディフェンス研究所と共に取り組み、「毎日の料理を楽しみにする」という理念の実現を目指していきます。

セキュリティ診断(脆弱性診断・ペネトレーションテスト)のサービスを見る

脆弱性診断(セキュリティ診断)とは?についてのコラムを見る