[新製品・サービス]
NRIセキュア、システム開発の初期段階からセキュリティ脅威を特定し、対策を提案する「脅威モデリングサービス」
2024年12月16日(月)日川 佳三(IT Leaders編集部)
NRIセキュアテクノロジーズ(NRIセキュア)は2024年12月16日、セキュリティサービス「脅威モデリングサービス」を提供開始した。システム開発・運用で発生する可能性のあるセキュリティ上の脅威を設計段階で洗い出し対策の妥当性を評価する「セキュリティ・バイ・デザイン」の下で適切な対策を提案する。同社のセキュリティチームがオンラインで企業に常駐して支援する「SEC Team Services」のラインアップの1つとして提供する。
NRIセキュアの「脅威モデリングサービス」は、システム開発の初期段階からセキュリティを考慮して対策を盛り込む「セキュリティ・バイ・デザイン」を支援するサービスである。同社のセキュリティチームがオンラインで企業に常駐して支援する「SEC Team Services」のラインアップの1つとして提供する。
システム開発の早い段階で、脅威につながるシステムの接続点や、脅威が潜んでいる可能性があるシステムコンポーネントなど、システムの設計に起因するリスクを特定する。
具体的には、システム設計書やセキュリティ管理規定などから想定できる脅威を一覧化し、脅威モデルを作成し、システムの潜在的な脅威を特定。特定した脅威が発生する可能性と組織に及ぼす影響からリスクを分析し、危険度と対策の優先度の評価から適切な対策を提案する。攻撃シナリオに基いて脅威を机上で評価でき、侵入テストに先立って設計段階からセキュリティ対策を検討可能である。
「対象システムをベースとした脅威モデルが得られ、継続的な脅威分析に活用できる。開発担当者や運用担当者がイメージしやすい形で成果物を提供するので、セキュリティ担当者との認識の差が減り、DevSecOpsの社内醸成にも役立つ」(NRIセキュア)
