顧客向け請求システムのWeb版開発で、自社内で行うには難しい「AGEST式探索的テスト」と「サイバーセキュリティ診断(脆弱性診断)」をテスト専門会社へ委託し、安心・安全を担保

j.union株式会社

人材育成支援、調査活動支援、情宣活動支援、ITソリューション

業種 情報通信・IT

従業員数500名未満

利用サービス AGEST式探索的テストサイバーセキュリティ診断

経営企画本部 輿水 裕之様
経営企画本部 佐藤 浩史様

j.union株式会社

  • 全顧客に向けたWebサービスの開発において、安全性の担保など第三者検証が必須だと考えていた
  • 固まりきっていない仕様や予算などに課題、システムを動かしながらチェックを行う「探索的テスト」を採用、「脆弱性診断」は”手動”と”ツール”との組込合わせで広範囲を網羅
  • 毎日報告される不具合やバグレポートで、早期の現状把握や日々の社内作業が効率化。報告書は、想定以上の精度で社内でも高く評価された

労働組合の活動を活性化するため、組織・経営コンサルティングや調査分析リサーチ、研修プログラムの企画運営など、様々な事業を展開しているj.union様。顧客である労働組合への請求システムのWebサービスを開発するにあたり、当社の「AGEST式探索的テスト」と「サイバーセキュリティ診断(脆弱性診断)」を利用いただき、その過程でユーザー向けの「マニュアル作成」も実施しました。今回は、当社を選定・ご依頼された経営企画本部の佐藤浩史様と開発を担当されていた輿水裕之様のお二人に、ご依頼いただいた経緯やサービスの品質、ご満足いただいた点などについて伺いました。

労働組合の運営支援で、業務効率化を支えるシステム開発も事業の柱に

はじめに、貴社の事業内容を教えてください。

輿水様:1989年の創業以来、民間企業の企業内労働組合の運営サポートを行っており、支援実績数は4,200件以上を誇ります。2030年の未来に向けて策定した「VISION2030」では、「働く人の笑顔の懸け橋に」をビジョンとして掲げています。

具体的には、情宣活動支援として機関紙制作や、組合員へのアンケート調査、人材育成セミナーの企画・手配などを実施。昨今では、組合活動の効率化を支えるシステムの開発・運用も重要な事業となっています。

お二人とも経営企画本部に所属されていますが、ITのご経験はどの程度ですか。

佐藤様:私は前職でWebデザインからキャリアを始め、プロダクト開発も経験しています。その後、IT企画や広報を経て当社に転職しました。現在は主に広報を担っていますが、今回システム開発で第三者によるテストの必要性を感じてサポートに入りました。

輿水様:私は長年、経理でキャリアを積んできました。当社でセミナー運営管理に約6年従事したときに、業務効率化のために運営管理の社内システムを社内エンジニアと組んで作ったのが最初のIT経験です。とはいえ、業務面での要望を伝えて形にしてもらう立ち位置ですので、決して技術に明るいわけではありません。

全ての顧客に提供するWebアプリケーション開発における第三者検証を検討

当社にご相談いただくことになったのは、どのような課題があったからですか?

輿水様:顧客にブラウザ上で請求書を閲覧いただくためのシステムを内製で開発しており、リリースに向けてチェックが必要でした。業務フローに沿った動作ができるかどうかは私が確認できたものの、システムとしての確認、いわゆる受け入れテストはどうすればよいものか悩んでいたところ、佐藤から「外部の専門会社に依頼」することを勧められたのです。

佐藤様:私はリリースへ向けて準備する立場の広報担当として開発の進捗を確認したところ、受け入れテストを行うべき段階で課題がありました。本システムは当社が従来提供している個社向けではなく全顧客に提供するもので、しかもWebを使うため、万が一の瑕疵が起こることがないよう安全性を担保し、信頼を得て利用していただくために第三者検証が必要だと考えました。そこで予算確保のため、ネット検索で上位に上がった数社に見積りを依頼しました。2022年7月のことですが、そのうちの1社がAGESTさんでした。

ご検討された数社の中から、当社を選ばれた理由を教えてください。

佐藤様:AGESTさんの名は知らなかったのですが、調べてみるとゲームのデバッグで有名なデジタルハーツのグループ会社だったので、有力候補でした。

また初回のヒアリングをふまえた次の打ち合わせではテストエンジニアの方も同席され、こちらの意図を汲んだご説明をいただけたのも好印象でした。実際、当社内で仕様を固めずに開発を進めていたためテスト設計のためには細かくヒアリングしてもらう必要があったのですが、その点でもAGESTさんはこちらの話をうまく引き出してくれました。さらに、輿水が業務の説明をすると「では、システム側ではこういうチェックが必要ですね」と言ってくださる。そのようにITに明るくない者にも丁寧に説明してくれたのは、AGESTさんだけでした。

輿水様:そうなんです。私が質問する内容も、「そんなことも分からないのに、このプロジェクトに入っているのか」と思われるような素人目線のものもあったかと思いますが、それにも丁寧に対応してもらえました。これなら、今後のやり取りも安心だと思い、ぜひこちらにお願いしたいと思ったのです。

「探索的テスト」「サイバーセキュリティ診断(脆弱性診断)」「マニュアル作成」で顧客に安心を

そうして2023年1~2月に「探索的テスト」を、3月に「脆弱性診断」を実施し、その後「ユーザーマニュアル」を作成・納品させていただきました。それぞれどのような経緯で行われたのですか?

輿水様:仕様が固まりきっていないこともあり、システムを動かしながらいろいろとチェックを行う「探索的テスト」を勧められ、予算内でチェックするポイントの優先順位を相談しました。今回大事なのは、請求書という会社の信用に関わるものを扱うためMicrosoft Accessによる顧客情報のデータベースとの連携において、金額を他のお客様に見えてしまったり、別のお客様に送ってしまったりするような間違いが絶対に起こらないようにすること。また想定外の使われ方に備え、異常系テストも重視してもらいました。

「脆弱性診断」についてはソフトウェア型の診断ツールとの違いを相談したところ、AGESTさんではツールとエンジニアによる手動診断を組み合わせて行っており、ツールでは見逃されがちなところまで網羅できるというので、合わせて依頼することとしました。

佐藤様:市販の脆弱性診断ツールで十分との意見も社内ではあったのですが、情報セキュリティサービス基準に適合しているAGESTさんに実施してもらえば「顧客に安心して利用いただけるお墨付きが得られる」と当社の経営陣に説明し、承認されました。

輿水様:「マニュアル作成」は、もともと社内資料のような画面設計書しかなかったものを、探索的テストを進める中で仕様を明確化するとともに画面キャプチャーも整理し、顧客に使ってもらえるマニュアルを作成してもらったのです。

毎日のテスト結果報告から、早期かつスムーズに現状を把握

ご利用されたサービスの成果はいかがでしたか?

輿水様:当社の都合で開発スケジュールが遅れましたが、一旦開発できている分に関して2023年の年明けから「探索的テスト」を行い、2月中に「脆弱性診断」とともに終えられるよう依頼しました。まず、その短期間で完了してもらったことに感謝しています。

佐藤様:テストの過程で毎日、その日に発見された不具合やバグ、エラーなどが報告されたので、こちらでも都度確認ができました。通常は最後にまとめて結果だけを一覧でレポートされることが多いと思いますが、それだと結局何をどうすればよいのかが分かりにくく、またエラーと思われる中にはそれが仕様である場合もあるので、当社内でも日々関係者への問合せも含めて確認作業を行うことができ、早期に現状を把握することができました。

また「脆弱性診断」では、診断ツールでは見つけられなかったエラーも発見できました。さらに報告書も問題点が明記されていて分かりやすく、その後の対策で何をすればよいかが一目瞭然でした。自身が開発者である当社の会長も、想定以上の精度の高い診断に対して高く評価をしていました。

その後、システム開発の進捗はいかがでしょうか。また今後の展望もお聞かせください。

輿水様:両テストの結果かなりの改修を行う必要があると分かりましたので、カットオーバーを急ぐことをせず、まずサービスとして完成させるべきだと考え、今も引き続き開発を行っています。またインボイス対応関連でも新たな改修が見込まれるので、その部分についてもAGESTさんにテストをお願いする予定です。

佐藤様:広報の観点でも、脆弱性に関して安全が担保されていると示せればサービスをアピールしやすいですね。顧客側も個人情報保護法の改正などによりサイバーセキュリティへの関心が高まっているので、こういったシステムに関しては信頼の置ける外部機関に検証を依頼すべきだと改めて実感しました。引き続き、AGESTさんを頼りにしています。

この記事をシェア