ログイン
通知設定
NRIセキュア、システム設計段階から脅威分析・対策を支援するサービスを提供開始
PR TIMES / 2024年12月16日 14時15分
「SEC Team Services」に「脅威モデリングサービス」を追加
NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、セキュリティの専門家がオンラインで企業に常駐し支援する「SEC Team Services」[i]の新たなラインナップの一つとして、「脅威モデリングサービス(以下、本サービス)」を、本日から提供します。本サービスは、システム開発・運用で発生する可能性のある脅威を設計段階で洗い出し分析することで、セキュリティ対策の妥当性を評価し適切な対策を提案するものです。システム開発の初期段階からセキュリティを考慮し対策を盛り込むセキュリティ・バイ・デザイン[ii]を実現でき、開発工数を削減し、運用時のセキュリティリスクを再検討する負荷を軽減することが期待できます。
◆増加する潜在的な脅威
近年のシステム開発においては、複数のソリューションを組み合わせた構成や開発体系の複雑化を背景に、潜在的な脅威が増加しています。そのため、設計段階から多岐にわたる脅威を洗い出して攻撃シナリオを検討し、優先度も含めたセキュリティ対策の妥当性を評価することが有効です。これらの作業は、高度な専門知識と多くの時間が必要となるため、人員確保が課題となる可能性があります。
◆本サービスの概要
本サービスは、NRIセキュアの専門家が企業のシステム設計書やセキュリティ管理規定等を元に、想定される脅威を一覧化して脅威モデルを作成し、システムの潜在的な脅威を特定します。特定した脅威に対して、発生可能性と組織に及ぼす影響からリスクを分析し、危険度および対策優先度を評価して対策を提案します。
本サービスは以下のプロセスを含みます。
1.脅威モデルの作成:提供されたシステム構成を分析し、脅威モデルと想定される脅威の一覧を作成します。
2.脅威分析:脅威フレームワークを用いて、脅威モデルと想定される脅威一覧から脅威を分析します。
3.リスク分析:脅威が発生する可能性と組織に及ぼす影響を分析し、危険度および対策優先度を評価します。
4.対策の立案:リスク評価結果に対して、システムの特性に合わせたセキュリティ管理策例を作成します。評価結果全体のセキュリティ管理策を整理し、対応優先度や要否判断も付加した上で一覧化します。
◆本サービスの特長
1.セキュリティ対策を最適化
本サービスでは、脅威につながるシステムの接続点や脅威が潜んでいる可能性があるシステムコンポーネントを把握することができるため、潜在的な脅威を可視化することができます。システム開発ライフサイクルの早い段階でシステム全体の脅威を特定できるため、必要最低限の工数で過不足のない、最適なセキュリティ対策を実現することができます。
2.継続的なセキュリティ活動の実現
対象システムをベースとした脅威モデルが得られるため、エンハンス時のリスク評価や継続的な脅威分析にも活用できます。アジャイル開発に取り入れることで効果的にセキュリティ活動を行うことができます。開発・運用担当者がイメージしやすい形で脅威モデルリングサービスの成果物を提供するため、セキュリティ担当者と開発・運用担当者との認識の差が低減し、DevSecOps[iii]の社内醸成にも寄与します。
3.Webアプリケーション診断やペネトレーションテストの補強
Webアプリケーション診断では詳細な評価が難しい、システム設計に起因するセキュリティリスクを、本サービスで可視化することができます。また、本サービスでは攻撃シナリオにもとづいて脅威を机上で評価できるため、ペネトレーションテストに先立って設計段階からセキュリティ対策を検討することができます。
本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/assessment/threat-modeling
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
[i] NRIセキュアが提供する「SEC Team Services」は、Webサービスやスマートフォンのアプリケーション等のプロダクト開発に取り組む組織に対して、セキュリティコンサルタントがオンラインで常駐し、設計・開発・運用におけるセキュリティ課題の解決を支援するサービスです。詳細は、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/news/2023/0913
[ii] セキュリティ・バイ・デザイン:システム開発の後段でセキュリティ対策を講じるのではなく、システムの企画や設計の初期段階から考慮し、対策を盛り込む考え方を指します。上流工程でセキュリティ要件を検討し組み込むことにより、システムのリリース直前に行うセキュリティ診断で脆弱性が見つかってリリーススケジュールの延期や追加コストが発生するといったリスクを回避することが期待できます。
[iii] DevSecOps:情報システムにおいて、開発(Development)と運用(Operations)が密に連携することで、開発にかかる期間を短縮しリリース頻度を高める「DevOps」という開発スタイルに、セキュリティ(Security)も融合させることで、セキュリティを確保しつつ、開発スピードを損なわないスタイルのことを指します。
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
【0円で脆弱性診断!】今すぐ試せるチャンス!
PR TIMES / 2024年12月11日 15時15分
-
NRIセキュア、グローバル製造業における欧州IoTセキュリティ法規の準拠支援サービスを提供開始
PR TIMES / 2024年12月3日 15時15分
-
KMS-SOC のサービスラインアップを拡充し、「SentinelOne」マネージドセキュリティサービスを提供開始
PR TIMES / 2024年11月26日 12時45分
-
『費用対効果を最大化するセキュリティ強化の第一歩、理想的な「リスク可視化」の始め方』というテーマのウェビナーを開催
PR TIMES / 2024年11月22日 11時15分
-
NRIセキュア、宇宙関連システムのセキュリティ対策を包括的に支援するサービスを提供開始
PR TIMES / 2024年11月20日 16時15分
ランキング
-
1「オタク婚活」VISA決済停止へ 相次ぐクレカ規制に「オタク排除」疑う声も...
J-CASTニュース / 2024年12月16日 14時20分
-
2新幹線の隣席が空いたので、離れて座っていた友人を呼んだら「これって非常識にならない?」と言われました。新幹線のルールとしてはアウトなのでしょうか?
ファイナンシャルフィールド / 2024年12月15日 23時30分
-
3部下に「仕事は終わってないですが定時なので帰ります」と言われたら、どう答える?
ITmedia ビジネスオンライン / 2024年12月16日 8時5分
-
4野村証券に過怠金6000万円 大阪取引所、相場操縦で
共同通信 / 2024年12月16日 17時18分
-
5仕事ができる人は「受信トレイがゼロ」になっている…「グーグルの中の人」が教えるGmailの賢い使い方
プレジデントオンライン / 2024年12月16日 8時15分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください
