NRIセキュアテクノロジーズは2019年8月8日、デジタルサービスの開始を検討している企業向けに、情報セキュリティに関わる潜在的なリスクを洗い出し、対策の立案を支援するサービス「デジタルサービス向けリスク分析支援」を開始した。
NRIセキュアテクノロジーズの「デジタルサービス向けリスク分析支援」は、デジタルサービスの脅威となりうるリスクを網羅的に洗い出し、適切なセキュリティ対策を提示するサービスである(図1)。企業がデジタルサービスを企画・要件定義する段階から関わり、ビジネスモデルとユースケース(ユーザーの利用事例)の観点に立つ。
拡大画像表示
以下の3つのサービスで構成する。
サービス仕様・ビジネスモデルの把握と脅威の洗い出しでは、対象となるデジタルサービスのビジネスモデルや仕様、外部との提携先も含めた全体像を把握する。このうえで、悪意者がどのような目的や手法でサービスを悪用しようとするのかを洗い出す。これらの行為の難易度や類似の事例を踏まえて、様々な悪用の形態を「脅威シナリオ」としてまとめる。各シナリオが当該デジタルサービスに対してどれほどのインパクトを持つかを評価する。
ユースケースに基づく脅威の洗い出しでは、分析対象となるデジタルサービスが持つ特有のユースケースに重点をおき、悪用された場合のあらゆるリスクを洗い出す。このなかから、実際に起きる可能性の高いリスクのメカニズムを分析し、当該リスクと現在の対策とのギャップを評価する。
脅威シナリオに対する対応策の立案・提示では、作成した脅威シナリオを基に、デジタルサービスの仕様にセキュリティ対策として組み込むべき事項を、対応方針として提示する。また、各対応方針について、脅威の「予防」「検知」「抑止」「低減」などの採るべき具体策を提示する。
なお、デジタルサービス向けリスク分析支援では、システム開発におけるRFIやRFPなどで定義する「サービス仕様」に対するリスク分析を対象とする。アプリケーションや基盤といったシステムの脆弱性に対する評価は、NRIセキュアが提供している「診断サービス」の対象分野になる。
サービス提供の背景について同社は、デジタルサービスを安全かつ迅速に提供するためには、より早い段階でのリスク分析が必要という状況を挙げる。「サービスの企画・要件定義の段階でリスク評価を行い、想定される脅威を洗い出したうえで、対応するセキュリティ要件をサービスの仕様として組み込んだシステムを設計する必要がある」(同社)。