NRIセキュア、システム設計段階から脅威分析・対策を支援するサービスを提供開始

「SEC Team Services」に「脅威モデリングサービス」を追加

NRIセキュアテクノロジーズ

NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、セキュリティの専門家がオンラインで企業に常駐し支援する「SEC Team Services」[i]の新たなラインナップの一つとして、「脅威モデリングサービス(以下、本サービス)」を、本日から提供します。本サービスは、システム開発・運用で発生する可能性のある脅威を設計段階で洗い出し分析することで、セキュリティ対策の妥当性を評価し適切な対策を提案するものです。システム開発の初期段階からセキュリティを考慮し対策を盛り込むセキュリティ・バイ・デザイン[ii]を実現でき、開発工数を削減し、運用時のセキュリティリスクを再検討する負荷を軽減することが期待できます。

◆増加する潜在的な脅威

近年のシステム開発においては、複数のソリューションを組み合わせた構成や開発体系の複雑化を背景に、潜在的な脅威が増加しています。そのため、設計段階から多岐にわたる脅威を洗い出して攻撃シナリオを検討し、優先度も含めたセキュリティ対策の妥当性を評価することが有効です。これらの作業は、高度な専門知識と多くの時間が必要となるため、人員確保が課題となる可能性があります。

◆本サービスの概要

本サービスは、NRIセキュアの専門家が企業のシステム設計書やセキュリティ管理規定等を元に、想定される脅威を一覧化して脅威モデルを作成し、システムの潜在的な脅威を特定します。特定した脅威に対して、発生可能性と組織に及ぼす影響からリスクを分析し、危険度および対策優先度を評価して対策を提案します。

本サービスは以下のプロセスを含みます。

1.脅威モデルの作成:提供されたシステム構成を分析し、脅威モデルと想定される脅威の一覧を作成します。

2.脅威分析:脅威フレームワークを用いて、脅威モデルと想定される脅威一覧から脅威を分析します。

3.リスク分析:脅威が発生する可能性と組織に及ぼす影響を分析し、危険度および対策優先度を評価します。

4.対策の立案:リスク評価結果に対して、システムの特性に合わせたセキュリティ管理策例を作成します。評価結果全体のセキュリティ管理策を整理し、対応優先度や要否判断も付加した上で一覧化します。

◆本サービスの特長

1.セキュリティ対策を最適化

本サービスでは、脅威につながるシステムの接続点や脅威が潜んでいる可能性があるシステムコンポーネントを把握することができるため、潜在的な脅威を可視化することができます。システム開発ライフサイクルの早い段階でシステム全体の脅威を特定できるため、必要最低限の工数で過不足のない、最適なセキュリティ対策を実現することができます。

2.継続的なセキュリティ活動の実現

対象システムをベースとした脅威モデルが得られるため、エンハンス時のリスク評価や継続的な脅威分析にも活用できます。アジャイル開発に取り入れることで効果的にセキュリティ活動を行うことができます。開発・運用担当者がイメージしやすい形で脅威モデルリングサービスの成果物を提供するため、セキュリティ担当者と開発・運用担当者との認識の差が低減し、DevSecOps[iii]の社内醸成にも寄与します。

3.Webアプリケーション診断やペネトレーションテストの補強

Webアプリケーション診断では詳細な評価が難しい、システム設計に起因するセキュリティリスクを、本サービスで可視化することができます。また、本サービスでは攻撃シナリオにもとづいて脅威を机上で評価できるため、ペネトレーションテストに先立って設計段階からセキュリティ対策を検討することができます。

本サービスの詳細については、次のWebサイトをご参照ください。

https://www.nri-secure.co.jp/service/assessment/threat-modeling

NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。

[i] NRIセキュアが提供する「SEC Team Services」は、Webサービスやスマートフォンのアプリケーション等のプロダクト開発に取り組む組織に対して、セキュリティコンサルタントがオンラインで常駐し、設計・開発・運用におけるセキュリティ課題の解決を支援するサービスです。詳細は、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/news/2023/0913

[ii] セキュリティ・バイ・デザイン:システム開発の後段でセキュリティ対策を講じるのではなく、システムの企画や設計の初期段階から考慮し、対策を盛り込む考え方を指します。上流工程でセキュリティ要件を検討し組み込むことにより、システムのリリース直前に行うセキュリティ診断で脆弱性が見つかってリリーススケジュールの延期や追加コストが発生するといったリスクを回避することが期待できます。

[iii] DevSecOps:情報システムにおいて、開発(Development)と運用(Operations)が密に連携することで、開発にかかる期間を短縮しリリース頻度を高める「DevOps」という開発スタイルに、セキュリティ(Security)も融合させることで、セキュリティを確保しつつ、開発スピードを損なわないスタイルのことを指します。

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。


会社概要

URL
https://www.nri-secure.co.jp/
業種
情報通信
本社所在地
東京都千代田区大手町1-7-2 東京サンケイビル
電話番号
-
代表者名
建脇 俊一
上場
未上場
資本金
-
設立
2000年08月