Sansanに学ぶペネトレーションテスト実践、システムの安全性を短期実証した方法

　法人向けクラウド名刺管理サービスなどの提供を通じて、日本企業のデジタルトランスフォーメーション（DX）を後押しするSansan。同社ではセキュリティと利便性を高いレベルで両立すべく、サービスの安心・安全を担保する取り組みを全方位で展開している。

　その一環として毎年実施されているのが、外部ベンダーによるペネトレーションテストだ。個人向け名刺アプリ「Eight」を対象とした際は、特定のプロセスに限定してリアルな標的型攻撃を可能な限り忠実に再現する、レッドチーム演習を採用。「社内Active Directoryの管理者権限取得」と「Eightデータベースの顧客情報取得」の2点をゴールとし、ベンダーのサポートを受けながら約2週間で充実したテストを実施した。

　社内ログの横断的な検索では、同サービスがどんな手段や経路で攻撃を仕掛けたのかを追うことができたという。加えて、ベンダーのレポートにより、さらなるセキュリティ強化に向けた手掛かりが得られた点も成果となった。本資料では、同社の取り組みを支えた同サービスとベンダーの詳細を紹介する。