TISとラックは2019年4月18日、クラウドセキュリティ領域での協業を発表した。TISのクラウドサービスに、ラックのセキュリティノウハウを付加価値として組み込み、セキュアクラウドプラットフォームとして提供する。
TISとラックは今回の協業で、「クラウド&セキュリティサービスプラットフォーム」(図1)を提供する。TISのクラウドプラットフォームに、ラックのセキュリティノウハウを組み込んだもので、「政府が公開したサイバーセキュリティ経営ガイドラインに完全準拠したクラウドプラットフォームを構築できる」(TIS 取締役専務執行役員 サービス事業統括本部長 岡本安史氏)サービスとなっている。
図1:クラウド&セキュリティサービスプラットフォームの全体像(出典:TIS発表資料)拡大画像表示
サイバーセキュリティ経営ガイドラインは、経済産業省と情報処理推進機構(IPA)がITに関するシステムやサービス等を供給する企業および経営戦略上ITの利活用が不可欠である企業の経営者を対象に、サイバーセキュリティ対策を推進するために策定したガイドライン。「Ver1.0」が2015年12月、「Ver2.0」が2017年11月に公開されている。
具体的には、ガイドラインVer2.0の中で要求項目として上げられている「経営者がCISO等に指示すべき10の重要事項」(図2)すべてに準拠する形で管理体制を構築するためのフレームワークを提供する。
図2:経営者がCISO等に指示すべき10の重要事項(出典:経済産業省「サイバーセキュリティ経営ガイドラインの改訂ポイント」)拡大画像表示
プラットフォーム上で利用するクラウドアプリケーションの開発については、セキュリティ・バイ・デザイン」を採用する。セキュリティ・バイ・デザインは、内閣サイバーセキュリティセンター(NISC)などが提唱する「情報セキュリティを企画・設計段階から確保するための方策」でも謳われている、企画・設計段階からセキュリティ対策を組み込むソフトウェア開発の手法。
プラットフォームから提供される具体的なサービスの第一弾は、2019年5月から営業を開始する予定の「エンタープライズ・クラウド&セキュリティ運用サービス」。企業内のインシデント対応チームであるCSIRT(コンピューター・セキュリティ・インシデント・レスポンス・チーム)の対応範囲である事前対応(脅威情報収集・構成管理・リスク評価)からリアルタイム検知(アラート解析)、事後対応(相関分析・インシデント対処)をサービスで網羅する、「いわば、CSIRTのアウトソーシングサービス」(TIS サービス事業統括本部 プラットフォームビジネスユニット 副ジェネラルマネージャー 丸井崇氏)となっている。
図3:クラウド&セキュリティサービスプラットフォームのメニュー体系(出典:TIS発表資料)拡大画像表示
TISでは、既存のセキュリティ関連サービスとして、リアルタイム検知の領域であるSOC(セキュリティ・オペレーション・センター)を提供してきた。事前対応、事後対応の領域でラックのノウハウを活用し、CSIRTで定義されるすべての領域を網羅する。
営業活動はTISが行う。まずは金融、製造・サービスなどのエンタープライズ企業および公共分野に対して提案していく。各業種のレギュレーションに沿ったテンプレートを順次リリースしていく予定だ。
両社は今後、セキュリティ分野の共同研究を行っていく。2019年度上期のテーマは「DevSecOps(Development Security Operations)」。TISは2018年11月に、クリエーションラインとコンテナ技術の活用で協業を発表している。同社のノウハウを活用してTISのクラウドプラットフォーム上のアプリケーションをコンテナ化し、運用まで行うエンタープライズ向けコンテナ活用サービスの提供を開始している。
DevSecOpsは、コンテナをセキュア・バイ・デザインで開発するほか、運用セキュリティまでをワンストップで提供するサービス。2019年度下期には複数のクラウドサービスに適用可能な統合認証基盤のサービス提供、2020年度上期にはIoT向けセキュリティセンサーの開発研究を行う予定となっている。
