株式会社FiNC

2012年4月創設。
「一生に一度のかけがえのない人生の成功をサポートする」 を企業理念とし、スマホ×ヘルスケア×予防医学の領域でイノベーションを生み出すモバイルヘルステクノロジーベンチャー。
特に、国内で普及が進んでいない予防医学の分野を注力しており、遺伝子検査や血液検査、生活習慣アンケートを元に、ユーザーごとに最適化された食習慣や運動改善をサポートする事業を展開。

コーポレートサイト

多種多様な個人情報を扱うからこそ、間違いのないセキュリティ対策が必要

株式会社FiNC
技術開発本部 SRE Development Manager
鈴木健二 様

鈴木健二 様

近年、注目が高まっている「ヘルスケア」。この市場において、ヘルスケアの専門家と時代の先端を行くITの知見を駆使し、一人ひとりの健康増進と人生の成功をサポートする事業を展開しているのが(株)FiNCです。そのサービスは、ダイエットに関心の高いビジネスパーソンだけでなく、従業員の健康管理に力を入れる企業からも支持を受けています。また、年々拡大の一途をたどる事業のユニークさも、業界の垣根を越えて注目の的となっています。

イエラエセキュリティでは今回、(株)FiNCの新サービスであるヘルスケアプラットフォームアプリ「FiNC」のリリース前に、セキュリティ面での診断を担当させていただきました。SRE(サイト信頼性エンジニアリング)領域でマネージャーを務める鈴木様に、ヘルスケア企業ならではの個人情報保護の重要性と社内での取り組み、さらに当社のセキュリティ診断サービスについてお話を伺いました。

センシティブな情報を扱う企業としての、セキュリティに対する使命感

FiNC_app_222ヘルスケア・フィットネス国内No.1プラットフォームアプリ「FiNC」
ダイエットなどの健康改善や病気予防を、AIチャットなどの最先端テクノロジーを用いてサポート。

人々の健康づくりをサポートする事業を展開するFiNCにとって、避けて通れないのが個人情報の適切な管理です。ユーザーの氏名や住所、生年月日などはもちろん、日々の行動記録や血液などの検査結果、さらにはECサイトの支払情報まで、情報の種類は多岐にわたります。数として膨大なだけでなく、そのどれもが取り扱いに特段の配慮が求められるものばかりです。

そういった情報を取り扱う立場上、我々としては厳格な情報管理体制を敷いています。具体的には、CISOを務める小島(弊社注:小島かおり氏、取締役 CISO 情報システム本部長)を中心としてセキュリティ面での社内ポリシーを策定し、それが適切に運用されているかどうかを定期的にチェックするような取り組みを全社的に行い、全ての社員が情報保護に対する高い意識を持てるような体制作りを進めてきました。特定の誰かが他の社員達の動きに目を光らせるのではなく、全員がセキュリティ委員として日頃から行動することで、社内には「ポリシーを必ず遵守しよう」という雰囲気が醸成されたと認識しています。

さらに付け加えて、マイクロソフトの澤さん(弊社注:澤円氏、日本マイクロソフト マイクロソフトテクノロジーセンター センター長)にアドバイザリーボードに加わっていただいて、「悪意あるハッカーの侵入経路は○○」「こういったデータの管理手法では危険性が高い」などとセキュリティ全般についての助言を受けるということも行っています。

ただし、最終的にセキュリティを守れるかどうかは、どうしても各エンジニアの意識に依存することになります。万全を期すために、いくつかの業者に第三者的な観点でセキュリティチェックをお願いしてきました。おおよそ半年から1年のペースで、大がかりなサービスのリリースがあるごとに業者を探し、良さそうなところを選んでその都度依頼をしてきました。今回も、さまざまな業者を比較・検討した結果イエラエセキュリティでの診断実施を決定しました。

開発フェーズがまちまちなプロジェクトにも、柔軟に対応してくれた

今回、紹介を受ける形でイエラエセキュリティのサービスを知り、依頼をすることになったのですが、我々にとっては嬉しいポイントがいくつかありました。

一つ目は、発注から診断開始までのリードタイムが非常に短かったこと・診断スケジュールが柔軟に決められたこと。いくつものサービスが同時並行で開発が進んでおり、それぞれフェーズが異なる中では、診断業者の提示するスケジュールに開発状況をあわせることが困難な場合が多々あります。また、診断可能なスケジュールが数ヶ月先といったことも珍しくありません。イエラエセキュリティでは、こちらの開発状況の変化にあわせて診断スケジュールの調整など柔軟に対応して頂きました。

二つ目は、多彩な開発案件に対応してくれたこと。FiNCが開発しているのは、Webサービスやスマホ向けアプリなど実にさまざまです。何か一つのコアなフレームワークがあって、それをもとにいろいろなサービスを構築している訳ではないので、自ずとセキュリティ診断の仕方もそれぞれ違ってきます。そういう条件下でも、イエラエセキュリティはAPIやWebの画面を一つ一つ丹念にチェックしてくれます。また、モバイルクライアントの診断には対応していない業者が大半という中で、AndroidはおろかiOSのアプリにまで対応しているイエラエセキュリティのサービスはとても貴重でした。

三つ目は、コストパフォーマンスの高さ。セキュリティ診断にかけるコストをできる限り抑えたいからといって、安かろう悪かろうでは何の意味も成しません。その点、イエラエセキュリティは適正価格で、しかも手抜かりなく診断を実施してくれました。診断結果が出るタイミングだけでなく診断中の段階でも幾度となくメールで連絡をくれ、「これは後回しに」「これはギリギリ間に合わせたい」などその都度依頼をしましたが、どれもうまく処理してくれました。そのようなこともあり、技術力だけでなくヒューマンスキルの部分でもレベルの高さを感じました。

新サービスの開発に合わせて、より高度なセキュリティ診断への期待

FiNCは、今後も「世界を代表するウェルネスカンパニーになる」という強い志に基づいて、新しいサービスを次々とリリースしていく意向を持っています。必然的に、いろいろなWebサービスやスマホ向けアプリを開発する機会も出てきますので、今後もぜひイエラエセキュリティの力を借りたいと思っています。
その際は、モバイルクライアントのリバースエンジニアリングも含めたソースコードレベルでの診断や、IoTなどまだセキュリティ診断が一般的ではない分野についても期待しています。