決め手はコスパと柔軟性、投資対効果の高いセキュリティ検証（ソースネクスト株式会社）

本記事では、担当者様へのヒアリング内容をもとに、導入に至る経緯、他社比較の視点、準備や実施中に起きたリアルな出来事、レポート活用の実態、そして第三者評価の価値について詳しくご紹介します。

ソースネクスト株式会社様について

ソースネクスト様は1996年の設立以来「製品を通じて世界中の人々に喜びと感動を広げる」をミッションに、セキュリティソフト「ZERO」をはじめ、「筆まめ」「いきなりPDF」などのパソコンソフトやスマートフォン向けの多彩なアプリ、「ポケトーク」「AutoMemo」などのIoT製品を提供しています。

現在では、AIが”特別な技術”から”誰でも使えるツール”になることを目指して、AI技術を活用した製品や、次世代AIエージェント「Genspark」など、先進的な製品の提供、および拡充にも注力しています。

サービスがより社会に浸透するほど、利用者が安心して使える環境が求められ、同社にとって「セキュリティは選ばれる理由の一つ」から「サービスとして必須の基本品質」へ役割が変化していました。その延長線上で、システムの安全性を継続的に検証する必要性が高まっていました。

なぜCyberCrewを選んだのか？

他社でほぼ決まりかけていたが、土壇場でCyberCrewの紹介を受けました。提案内容や準拠する規定は他社と同等でありながら、コストパフォーマンスが圧倒的に高かった。また、柔軟な対応が期待できた点も決め手となりました。

お客様から「他社の見積りと比較してコストパフォーマンスがとても高かった」「柔軟な対応が期待できた」というご評価をいただけたことを大変光栄に感じています。セキュリティ診断は“安ければ良い”ではなく、“費用以上の価値を提供できているか”が重要です。当社では、攻撃者視点に基づく効率化されたテスト手法と、国内外の専門人材の連携により、診断品質を落とさずにコストを最適化する取り組みを常に続けています。

また、事前準備や手続きが複雑になると、お客様側の負担が増え、本来の目的である「安全性の確認」に集中しづらくなってしまいます。CyberCrewでは、環境ヒアリング・仕様確認・アカウント準備を極力シンプルにし、お客様側の工数を最小化する体制を整えています。「柔軟に対応してもらえた」というお声は、こうした取り組みが実を結んだものだと感じています。

今後も、お客様のセキュリティ体制や予算、開発体制に合わせた最適なスコープ提案を行い、「導入しやすく、成果を実感しやすい」サービス提供を心がけてまいります。

実施してみてどう感じましたか？

契約手続きに時間がかかったほか、開始直後は弊社の環境への接続方法について認識をすり合わせるための時間がかかりましたが、接続が正しく確立してからは、その後の進行はとてもスムーズでした。

接続環境の設定に時間がかかってしまった点について率直に共有いただき、誠にありがとうございます。セキュリティチームが連携する際には、IP許可の伝達や作業タイミングにタイムラグが発生することがあり、改善すべきポイントとして真摯に受け止めています。今回のケースでも、許可IPの不一致により数回の調整が必要となってしまったことについて、当社としても今後の改善に活かす重要な学びとなりました。

一方で、「接続後はとてもスムーズに進行した」というご評価は、当社のテスト設計やプロジェクト管理を高く評価いただいた証と理解しています。当社では、攻撃シナリオの優先順位付けや、環境依存部分の把握を事前に行うことで、無駄のない検証を実現しています。また、実施フェーズでは出来る限りお客様への追加確認を減らし、進行が滞らない体制を整えています。

今回のフィードバックを踏まえ、接続前の事前確認フローをより精緻化し、IP許可情報の伝達ミスや環境依存の手戻りを減らす仕組みを強化してまいります。「最初は不安があったが、実施後は安心できた」と感じていただけたことを励みに、さらなる品質向上に努めてまいります。

ペネトレーションテストの準備はどれくらい大変でしたか？

他社ではデータ準備等に半月〜1ヶ月かかることもあるが、今回はアカウント作成とIP許可のみで、実質数時間程度で済みました。指定が細かくなく「アカウントがあればやります」というスタンスだったのでとても楽でした。

他社では事前準備に半月〜1ヶ月かかるケースもある中、「アカウント作成とIP許可のみで実質数時間程度」というご評価をいただけた点は、当社が最も重視している価値のひとつです。多くの企業がセキュリティ診断の導入に踏み切れない理由として、「準備に時間がかかる」「社内の工数が確保できない」という声が挙げられます。そこでCyberCrewでは、準備フローの簡素化と、お客様環境特有の“初期ハードル”を減らすことを徹底しています。

今回のケースでは、ステージング環境特有の挙動があったため、最低限必要な部分だけをお客様にご共有いただきましたが、そのうえで「とても楽だった」と感じていただけたことは、当社が目指す“導入負荷の少ないセキュリティ診断”が実現できている証と受け止めています。

また、事前準備が少なくても診断品質を確保するため、当社ではヒアリング時に攻撃シナリオを複数想定し、それに基づく内部的なテスト計画を作成しています。そのため、お客様側の準備負担を極力減らしつつ、診断の網羅性・有効性を担保することができます。

今後も、初めてペネトレーションテストを実施する企業様でも迷わず進められるよう、ガイドラインやFAQ整備など、サポート体制をさらに強化してまいります。

実施中の混乱やトラブルはありましたか？

全く問題ありませんでした。「いつ実施されたのかわからない」ほどで、業務への支障はありませんでした。

「いつ実施されているかわからないほど自然で、業務への影響はなかった」というコメントをいただけた点は、当社のテスト運用が意図した通りに機能した結果だと感じています。特にクラウド・Webアプリケーションの診断では、検証作業が業務トラフィックやアプリケーションの安定性に干渉しないよう、進行スケジュールや負荷分散を慎重にコントロールする必要があります。

とはいえ、セキュリティ診断は不透明な部分が多く、「何をしているかわからない」ことが逆に不安につながることもあります。そこでCyberCrewでは、実施内容や意図が必要な範囲で共有されるよう、事前説明と適度な進捗報告のバランスを重視しています。今回「混乱や不安が生じなかった」というご評価は、そのバランスが適切であったと捉えています。

また、業務影響が出ないよう細心の注意を払いつつ、攻撃者視点での再現性に基づいた検証も同時に行うため、テストそのものはお客様に“気づかれないレベルの静かな進行”となるケースも多くあります。今後も、必要以上の負荷を与えず、しかし攻撃手法は妥協しないという“静音性と実効性の両立”を追求していきます。

レポート内容は期待どおりでしたか？

脆弱性の内容だけでなく、具体的な再現方法や対策まで記載されており、そのまま修正対応に移れる内容でとても質が高かったです。

ステージング環境特有の古いプログラムの脆弱性なども的確に指摘されており、「答え合わせ」としても機能した。一部、「侵入テストまで行わない範囲」についての不安はあったが、説明を受けて納得できました。

レポートについて「再現方法や対策まで明確に記載されており、そのまま改善に取り組める内容だった」「古いプログラムの脆弱性指摘が“答え合わせ”になった」というご評価をいただき、大変うれしく思います。多くの企業が抱える課題として、「診断は受けたが改善に落とし込めない」「技術者に伝わらない」というギャップが挙げられます。当社のレポートは、このギャップを解消するため、技術者・マネジメントの双方が読み解ける構成にしています。

また、「侵入テストに至らない理由が丁寧に説明された」という評価も重要なポイントです。脆弱性が“ある”ことと“侵入される”ことはイコールではありませんが、多くの企業がこの点に不安を抱えています。当社では、攻撃手法の成立要件や実際のリスクレベルを技術的根拠に基づいて説明することで、誤解や過度な不安を解消できるよう心がけています。ただ、レポートにそういった部分までの記載があると良いとのお声もいただいたので、今後改善に努めてまいります。

今後も、診断結果が単なる「問題リスト」に留まらず、お客様の改善活動を加速させる“実務で使えるレポート”を提供し続けます。

テスト後、どんな安心感や効果を得られましたか？

自分たちで「大丈夫」と思っていても不安は残るものです。
専門的な第三者にチェックしてもらうことで、客観的な安心感と信頼性（説明責任）を確保できました。

「自分たちで“大丈夫”と思っていても不安は残る」「第三者が入ることで安心感と説明責任が確保できた」というコメントは、多くの企業が同じように感じられている部分です。自社内の点検だけでは“気づけない盲点”が必ず存在し、開発者・運用者が知識を持っていても、客観性という点では第三者評価に勝るものはありません。

CyberCrewでは、単なる診断結果の提示だけでなく、「なぜそのリスクが発生するのか」「どこまで影響が及ぶのか」「何をすれば確実に改善できるのか」という判断材料を明確に提示することで、お客様の心理的負担を軽減することを重視しています。

今回いただいたコメントのように、診断を通して“自信を持って運用できる状態”に近づいたと感じていただけたことは、ペネトレーションテストの本質的な価値が伝わった証と受け取っています。今後も、技術面だけでなく心理面の安心も含めたセキュリティ支援をご提供してまいります。

導入を検討されている企業へのメッセージ

サービス内容の柔軟性と、高いコストパフォーマンスが魅力です。レポートには対策や再現テストの方法も含まれており、結果を受け取ってからの改善プロセスもスムーズに進められます。

「柔軟性がある」「コストパフォーマンスがとても高い」というご評価は、当社が長年重視してきた価値そのものです。初めて診断を依頼する企業にとって、費用と手間は大きな障壁になります。CyberCrewは“導入しやすさ”と“結果の実効性”の両立を目指し、スコープ提案からレポートの改善支援まで一貫してサポートしています。

また、レポートが改善に直結する構成になっている点を評価いただけたことは、当社にとっても非常に大きな励みです。セキュリティ診断は「受けたら終わり」ではなく、その後の改善活動が最も重要です。当社では、改善計画づくりや再発防止策のアドバイスなど、必要に応じて継続的な支援も行っています。

今後も、お客様が自社のセキュリティレベルに自信を持ち、安心してサービスを提供できるよう、最適な診断品質と柔軟な支援体制をお届けしてまいります。

会社概要