大規模リニューアルのリリース判断を支えたセキュリティリスクの客観的な整理（ニッポンインシュア株式会社）

ニッポンインシュア株式会社は、取扱店向けのクラウド型契約管理システム「Cloud Insure」の大規模リニューアルにあたり、CyberCrewのセキュリティ診断・ペネトレーションテストを導入しました。

保証業務において、契約情報などを扱う基盤システムの品質と適切な情報管理は、事業の信頼性を支える重要な要素です。今回のプロジェクトでは、機能面の改修だけでなく、将来的な拡張を見据えた基盤整備と、リリース判断に必要なセキュリティ上のリスクを把握・整理することが求められていました。

本事例では、Cloud Insureの大規模改修を背景に、なぜ一般的な脆弱性診断に加えて、ペネトレーションテストを確認範囲に加えたのか、CyberCrewを選定いただいた理由、そして診断結果がどのようにリリース判断や社内説明に活用されたのかをご紹介します。

※Cloud Insureは、ニッポンインシュア株式会社の登録商標です。

ニッポンインシュア株式会社について

ニッポンインシュア株式会社は、賃貸住宅や賃貸店舗・事務所の家賃債務保証、介護費・入院費の債務保証などを展開する企業です。

同社が提供する「Cloud Insure」は、取扱店向けに提供される契約情報管理のための独自Webシステムです。申込・契約に関する書類管理や審査申込などをWeb上で行える仕組みとして、取扱店の業務効率化を支えています。

保証事業においては、契約情報や関連書類を適切に管理し、取扱店や関係者が安心して利用できる環境を維持することが欠かせません。そのため、システムの安定性や情報管理体制は、サービス品質そのものを支える重要な基盤となっています。

この事例で活用されたサービス

大規模リニューアル時に求められた、実運用に即したリスク確認

今回の診断対象となったCloud Insureは、初回リリース後、初めてとなる大規模リニューアルのタイミングを迎えていました。

機能面の拡張や改善だけでなく、将来的なサービス展開を見据えた基盤整備も含まれる重要なプロジェクトであり、リリース前には、セキュリティ上の確認事項やリスクを客観的に整理する必要がありました。

特に、Cloud Insureは取扱店向けに提供されるWebサービスであり、契約情報などの重要な情報を扱います。そのため、一般的な動作確認や仕様確認だけでなく、第三者の視点から、実運用に近いリスクを確認することが重要でした。

ニッポンインシュアでは、今回の大規模改修に伴う確認事項を客観的に整理し、必要な対策や対応優先度を明確にしたうえで、リリース判断につなげることを重視されていました。

大規模改修時のセキュリティ確認では、「必要な観点を適切に確認すること」と「現実的なスケジュール・負荷で進めること」のバランスが重要になります。

Cloud Insureは取扱店向けのWebサービスであり、契約情報等を扱う重要な基盤システムです。そのため、表面的な確認だけではなく、実運用に即した観点から、リスクの有無や対応優先度を把握する必要がありました。

一方で、リリーススケジュールを維持しながら進める必要もありました。過剰な対応負荷が発生すると、開発・調整の現場に無理が生じ、プロジェクト全体の進行にも影響します。

そのため、単に多くの項目を確認するのではなく、今回の改修内容やシステム特性を踏まえ、どこを重点的に確認すべきか、どのリスクをどの優先度で扱うべきかを整理することが重要でした。

CyberCrew選定の決め手は、過不足のない診断範囲と実務に即した提案

CyberCrewを選定いただいた大きな理由は、Cloud Insureの特性と今回の改修内容を踏まえたうえで、診断範囲を具体的に提案できた点でした。

単に「広く確認する」「網羅性を高める」といった提案ではなく、今回のリニューアルにおいて重点的に見るべきポイント、将来的な検討事項として整理すべきポイントを分けて説明したことで、実務に落とし込みやすい診断計画として導入判断の後押しとなりました。

また、指摘事項が単なる技術的な指摘にとどまらず、実装や運用の判断につながる形で整理されていた点についても、実務面で有効であったとの評価をいただいております。

セキュリティ診断は、結果を受け取るだけでは十分ではありません。どの指摘を優先して対応すべきか、どこまで対応すればリリース判断に進めるのか、社内関係者や開発ベンダーにどのように説明するのかまで見据えて設計する必要があります。

今回の提案では、ニッポンインシュア、開発ベンダー、CyberCrewの三者連携を前提に、プロジェクト全体の進行に無理なく組み込める進め方を提示しました。その点が、品質と現実的な運用負荷のバランスが取れた提案として、導入判断につながりました。

同社からは、次のようなコメントをいただいています。
「今回の改修内容やCloud Insureの特性を正しく理解したうえで、過不足のない診断範囲を具体的に示していただけた点が決め手でした。」

一般的な脆弱性診断に加え、ペネトレーションテストも確認範囲へ

当初は、リニューアルに伴うセキュリティ確認として、一般的な脆弱性診断を中心に検討されていました。

CyberCrewではご提案の際、Cloud Insureの特性や今回の改修内容を踏まえ、通常の確認に加えて攻撃者視点でリスクを検証する意義についても、具体的にご説明いたしました。

設計書や仕様上の確認だけでは、実際の利用状況や画面遷移、権限、操作の組み合わせによって生じるリスクを十分に把握できない場合があります。特に、契約情報などを扱うWebサービスでは、一般的な脆弱性の確認に加え、実運用に近い視点で「攻撃経路が成立し得るか」を検証することが重要です。

ニッポンインシュアでは、こうした説明を踏まえ、今回の改修内容に対する確認範囲として、ペネトレーションテストを加える判断に至りました。

三者間の連携を整理し、限られたスケジュールの中でも大きな手戻りなく進行

導入にあたっては、ニッポンインシュア、開発ベンダー、CyberCrewの三者間で、診断対象・環境・確認事項などの前提条件を揃える必要がありました。

限られたスケジュールの中での調整だったため、一定の準備や確認は発生しましたが、進め方を明確にしたことで、大きな混乱や手戻りなく進行することができました。

セキュリティ診断は、診断会社だけで完結する作業ではありません。対象システムの仕様、テスト環境、アカウント権限、実施タイミング、関係者への連絡体制など、事前に整理すべき事項が複数あります。

CyberCrewでは、こうした論点を事前に明確化し、プロジェクトの一部として無理なく進められるよう支援しました。

その結果、開発ベンダーとの連携も含め、ニッポンインシュア側の調整負荷を抑えながら、診断を進めることができました。

実施後の評価：診断を“個別作業”ではなく、プロジェクトの判断材料として活用

実際にサービスをご利用いただいた感想として、ニッポンインシュアからは、診断そのものだけでなく、確認観点や優先順位が整理されていた点が実務面で有効だったとの声をいただきました。

どのような観点で確認しているのか、どの指摘をどの優先順位で考えるべきかが分かりやすく、リニューアルプロジェクト全体の判断材料として活用しやすい内容になりました。

また、ニッポンインシュアだけでなく、開発ベンダーとの連携も適切に進められたことで、診断を単独の作業としてではなく、リニューアルプロジェクトの一部として円滑に進めることができました。

セキュリティ診断は、指摘を出して終わりではありません。実際の開発・リリース判断・社内説明につながって初めて、実務上の価値を発揮します。

今回の取り組みでは、Cloud Insureのシステム特性や改修内容を踏まえ、何をどう確認すべきか、確認結果をどのように受け止めるべきかまで含めて整理したことで、実用性の高い支援となりました。

同社からは、次のようなコメントをいただいています。
「診断そのものだけでなく、どのような観点で見ているのか、どの指摘をどの優先順位で考えるべきかが分かりやすく、プロジェクト全体の判断材料として活用しやすい内容でした。」

成果物は、開発側の対応検討にも社内説明にも活用しやすい内容に

診断レポートについては、指摘事項の内容だけでなく、その背景・影響・対応の優先度が理解しやすく整理されていた点が、開発側の対応検討や社内説明にも活用されました。

技術的な内容に偏りすぎず、判断材料として必要な情報がまとまっていたため、開発ベンダーやエンジニアにとっては具体的な対応検討に活用しやすく、社内ではリリース判断や対応優先度を検討する材料として利用しやすい内容になりました。

また、技術的な指摘の背景が整理されていたことで、管理部門や関係者への説明にもつなげやすい内容になりました。

特に、リリース前の判断では「どこにリスクがあるのか」「どこまで確認できているのか」「どの対応を優先すべきか」を説明できる状態にすることが重要です。

今回の成果物は、単なる診断結果ではなく、リリース判断と改善アクションを支える実務資料として活用されました。

成果物についても、同社から次のようなコメントをいただいています。
「技術的な内容に偏りすぎず、判断材料として必要な情報が適切にまとまっていたため、開発側の対応検討だけでなく、社内説明にも活用しやすい内容でした。」

確認できた点と今後対応すべき点を整理し、リリース判断の材料に

診断を実施したことで、ニッポンインシュアでは今回の大規模改修に伴うセキュリティ上の確認事項を、より具体的に整理することができました。

診断前は、どの観点を重点的に確認すべきか、どのリスクをどの優先度で扱うべきかを整理する必要がある状態でした。

それが今回の診断を経たことで、確認できた点、対応を検討すべき点、優先度を踏まえて判断すべき点が明確になり、リリース判断に向けた材料として活用いただけるようになりました。

その結果、過度に楽観するのでも、必要以上に不安視するのでもなく、現実的なリスク認識に基づいて判断しやすくなったとのお声をいただきました。

診断によって確認できた点と今後対応すべき点を整理できたことは、リリース判断に向けた重要な材料となったと評価を頂いております。

セキュリティ確認を、改修や環境変化の節目で検討するテーマへ

今回の取り組みを通じて、ニッポンインシュアでは、システム改修時におけるセキュリティ確認の重要性を改めて整理する機会となりました。

特に、システム改修時には機能面だけでなく、セキュリティ観点も早い段階から確認事項として組み込むことが重要です。

今後も、Cloud Insureをはじめとするシステムの改修や環境変化の節目に応じて、必要なセキュリティ確認を検討していく考えです。

単発の診断で終えるのではなく、システムの変更内容や利用状況に応じて適切な確認を行い、実務に即したリスク把握につなげていくことが重要だと考えられます。

ニッポンインシュア株式会社様からのメッセージ

セキュリティ診断は、指摘件数の多さや形式的な網羅性だけで評価するものではなく、自社のシステム特性や改修内容を踏まえて、必要な観点を適切に確認できるかが重要だと考えていました。

特に、事業上重要なWebサービスやシステムの改修時には、リリース判断や社内説明に活用できる材料を得るという意味でも、実務に即した診断を行う価値は大きいと思います。

今回の取り組みを通じて、単なる指摘役ではなく、事業上の重要性やシステムの利用実態を理解したうえで、実務に即した整理や説明を行ってもらえる診断会社に出会うことができました。

会社概要

※Cloud Insureは、ニッポンインシュア株式会社の登録商標です。