NECは2020年9月9日、ビジネス継続に関わるリスクを包括的に評価し、対策を提示する「リスクハンティングサービス」を提供開始した。セキュリティスペシャリストチームを立ち上げ、コンサルティングからセキュリティ実装のシステム構築(SI)サービス、運用までトータルで提供する。NECは、今後3年間で180社での利用を目指す。
NECの「リスクハンティングサービス」は、人権・プライバシーへの配慮、市場トレンドから将来的に考慮すべき懸念事項など、情報資産を活用するうえで想定されるリスクについて、ビジネスプラン・仕様書・システム設計図などを参照して評価するサービスである(図1)。スペシャリスト約100人で構成するチームが提供する。
図1:リスクハンティングサービスの概要(出典:NEC)拡大画像表示
セキュリティリスクに関しても、NEC自身や顧客企業のDX支援で得た「セキュリティ・バイ・デザイン」の実績と知見を活かし、脆弱性診断やペネトレーションテスト(侵入テスト)などにより、システム全体をビジネス観点で評価する。
特に近年は、正規ユーザーへのなりすましにより、システム本来の機能を利用した攻撃など、システムやビジネスフローの脆弱性を突いた攻撃が増加している。これらを包括的に評価したうえで、ビジネスへの影響を考慮した対策を提示することにより、ビジネス企画やシステム設計段階からリスク低減を支援する。
また、セキュリティ関連のコンサルティングやSIサービスを体系化し「プロフェッショナルサービス」として提供する。抑止・予防・検知・復旧の各段階で、ゼロトラストモデルを導入するためのセキュリティの実装とサイバーハイジーン(サイバー衛生管理)の徹底を支援する。
背景について同社は、新型コロナウイルス感染症の感染拡大防止のため、テレワークの導入やクラウドサービスの利用など、デジタル化が急速に進んでいることを挙げている。「守るべき情報資産を社内に置いてネットワークの境界で防御する従来の考え方では、安全性の担保が困難になっている」という。
「情報資産と脅威が社内外に存在することを前提に、アクセスするものはすべて信頼せずに、都度認証するゼロトラストモデルの考え方を採用し、脆弱性を常に排除するサイバーハイジーンの徹底が求められている」(同社)。
