NRIセキュアテクノロジーズは2023年9月13日、セキュリティコンサルティング/SIサービス「SEC Team Services」を提供開始した。Webサービスやスマートフォンアプリなどを開発する企業に、セキュリティコンサルタントがチャットツールやWeb会議などを用いてオンラインで常駐し、設計・開発・運用におけるセキュリティ上の課題を解決する。
NRIセキュアの「SEC Team Services」は、アプリケーション開発プロジェクトに、セキュリティコンサルタントがオンラインで常駐するコンサルティング/SIサービスである。Webサービスやスマートフォンアプリなどを開発する企業を対象に提供し、設計・開発・運用におけるセキュリティ上の課題を解決する。オンライン常駐の方式として、チャットツールやWeb会議などを想定している(図1)。
図1:セキュリティ専門家のオンライン常駐サービス「SEC Team Services」の支援内容(出典:NRIセキュアテクノロジーズ)拡大画像表示
「開発現場には、『社内にどのようなセキュリティ規程が存在するか分からない』『ガイドラインに沿うには何をすればよいか分からない』『暗号化処理方式やコードの書き方にセキュリティ上の問題がないか分からない』といった悩みがある」(同社)
そこで、SEC Team Servicesでは、ユーザー企業の開発者にセキュリティ教育を提供するとともに、設計から開発工程にかけてのアドバイザリーを提供する。必要に応じて、セキュリティ設計の評価や各種セキュリティ診断を組み合わせて、より具体的な支援を実施する。
また、通常はシステムのリリース直前にセキュリティを診断するケースが多く、問題を発見した場合は手戻りが発生し、リリースのスケジュールに影響を及ぼしているという課題も挙げている。SEC Team Servicesでは、DevSecOpsに慣れているセキュリティコンサルタントが開発を支援することで、既存の開発プロセスを変えずにセキュリティ対策の効率を上げられるとしている。
運用工程におけるセキュリティ上の課題も解決する。ユーザー企業は、オープンソースソフトウェア(OSS)の脆弱性がシステムに与える影響や深刻度について、オンライン常駐しているセキュリティコンサルタントに相談できる。「昨今のシステムは、OSSをはじめとする各種ソフトウェア要素を組み合わせて構成することが多い。利用しているOSSの脆弱性情報を収集して対応する必要がある」(同社)。
NRIセキュアによると、昨今のシステム開発プロジェクトでは、アジャイル開発手法を用いて開発プロセスを内製化するケースが増えているという。「こうした中で、セキュリティチームをチーム横断型で組織してセキュリティレベルを確保する取り組みが進んでいるが、セキュリティ人員の確保やスキルに課題がある」(同社)。
