tag
Security
eye-catch
2021/07/27
失敗の中で生まれた、「寄り添う」内製の脆弱性診断
サービス価値向上に、脆弱性診断を活用できていますか? Visionalグループでは、事業とセキュリティの真の「共存」を実現するため、全社横断組織としてセキュリティ室があります。セキュリティ室では、様々な事業部を巻き込み、脆弱性診断を通して事業部に寄り添ったリスクコントロールを実践しています。そして、「事業部の仲間たちが実現したいことに全力で挑戦できる、安心・安全な環境づくり」 を目指しています。 皆さんの職場ではどのように脆弱性診断と関わっていますか? 「監査対応の要件として実施している」「リスクを抑止するための根拠を提供してもらっている」だけでしょうか。 私たちセキュリティ室も、はじめは在り方が定まっておりませんでした。しかし、様々な課題を乗り越え、現在では事業部との適度な抑止関係でスピード感のあるリスクコントロールができるようになりました。 2021年4月22日に上場を果たすまでの約1年間、数名からなるチームでVisionalグループの全サービスの脆弱性診断を行いながら、どのような課題にぶつかり、アジャイル開発に寄り添うリスクコントロールを実現できるようになっていったのかを紹介します。 内製での脆弱性診断との関わり方や事業のリスクへの向き合い方の参考になれば幸いです。
eye-catch
2021/03/30
Serverless Image Handlerによるセキュアな画像配信の実現
Webサービスを開発する場合、画像配信はtoB/toC問わず必要になることが多いです。人財活用プラットフォームHRMOSの評価管理は2019年にリリースされた機能ですが、データ連携・インフラ整備・セキュリティ強化など、リリースに向けて様々な準備が必要でした。今回はその中から、AWSのサーバーレスを活用して、セキュアに画像を配信する仕組みを構築した時の取り組みをご紹介します。 画像配信を新たに構築した経緯 評価管理をリリースするにあたり、従業員データベースに設定されている顔写真を評価管理に取り込んで、プロフィール画像として利用可能にすることになりました。PoCの段階では、プロフィール画像はユーザーが任意に設定できる画像しかなかったため、画像配信はSNSのプロフィール画像のような公開画像が前提で作られており、以下のような構成でした。 顔写真は個人情報に該当するためセキュアに配信する必要がありますが、画像の閲覧をログイン必須にしてしまうと、Slackやメールなどの通知でプロフィール画像を利用できなくなってしまい、UXが低下してしまいます。そこで、ログインユーザーしかURLを知ることができず、画像の閲覧はログイン不要にできる署名付きURLで配信する仕組みを構築することにしました。