[新製品・サービス]

NRIセキュア、デジタルサービスの潜在リスクを分析して対策を支援するサービスを開始

2019年8月9日(金)IT Leaders編集部

NRIセキュアテクノロジーズは2019年8月8日、デジタルサービスの開始を検討している企業向けに、情報セキュリティに関わる潜在的なリスクを洗い出し、対策の立案を支援するサービス「デジタルサービス向けリスク分析支援」を開始した。

 デジタルサービス向けリスク分析支援は、デジタルサービスの脅威となりうるリスクを網羅的に洗い出し、適切なセキュリティ対策を提示するサービスである(図1)。企業がデジタルサービスを企画・要件定義する段階から関わり、ビジネスモデルとユースケース(ユーザーの利用事例)の観点に立つ。

図1:デジタルサービス向けリスク分析支援の概要(出典:NRIセキュアテクノロジーズ)図1:デジタルサービス向けリスク分析支援の概要(出典:NRIセキュアテクノロジーズ)
拡大画像表示

 以下の3つのサービスで構成する。

 (1)サービス仕様・ビジネスモデルの把握と脅威の洗い出しでは、対象となるデジタルサービスのビジネスモデルや仕様、外部との提携先も含めた全体像を把握する。このうえで、悪意者がどのような目的や手法でサービスを悪用しようとするのかを洗い出す。これらの行為の難易度や類似の事例を踏まえて、様々な悪用の形態を「脅威シナリオ」としてまとめる。各シナリオが当該デジタルサービスに対してどれほどのインパクトを持つかを評価する。

 (2)ユースケースに基づく脅威の洗い出しでは、分析対象となるデジタルサービスが持つ特有のユースケースに重点をおき、悪用された場合のあらゆるリスクを洗い出す。このなかから、実際に起きる可能性の高いリスクのメカニズムを分析し、当該リスクと現在の対策とのギャップを評価する。

 (3)脅威シナリオに対する対応策の立案・提示では、作成した脅威シナリオを基に、デジタルサービスの仕様にセキュリティ対策として組み込むべき事項を、対応方針として提示する。また、各対応方針について、脅威の「予防」「検知」「抑止」「低減」などの採るべき具体策を提示する。

 なお、デジタルサービス向けリスク分析支援では、システム開発におけるRFIやRFPなどで定義する「サービス仕様」に対するリスク分析を対象とする。アプリケーションや基盤といったシステムの脆弱性に対する評価は、NRIセキュアが提供している「診断サービス」の対象分野になる。

 背景には、デジタルサービスを安全かつ迅速に提供するためには、より早い段階でのリスク分析が必要という状況がある。。サービスの企画・要件定義の段階でリスク評価を行い、想定される脅威を洗い出したうえで、対応するセキュリティ要件をサービスの仕様として組み込んだシステムを設計する必要がある。

関連記事

Special

-PR-

NRIセキュア、デジタルサービスの潜在リスクを分析して対策を支援するサービスを開始NRIセキュアテクノロジーズは2019年8月8日、デジタルサービスの開始を検討している企業向けに、情報セキュリティに関わる潜在的なリスクを洗い出し、対策の立案を支援するサービス「デジタルサービス向けリスク分析支援」を開始した。

PAGE TOP