NRIセキュア、デジタルサービスの潜在リスクを複合的に分析し、対策を支援するサービスを提供開始
- 2019/08/20 10:00
- SecurityInsight
NRIセキュアテクノロジーズ(NRIセキュア)は8月8日、デジタルサービスの開始を検討している企業向けに、情報セキュリティに関わる潜在的なリスクを洗い出し、その対策の立案を支援する「デジタルサービス向けリスク分析支援」を提供開始することを発表した。
このサービスでは、企業がデジタルサービスを企画・要件定義する段階から関わり、ビジネスモデルとユースケース(ユーザーの利用事例)の観点から、デジタルサービスの脅威となりうるリスクを網羅的に洗い出し、適切なセキュリティ対策を提示する。具体的には、以下の3つの機能から構成される。
1.サービス仕様・ビジネスモデルの把握と脅威の洗い出し
対象となるデジタルサービスのビジネスモデルや仕様、外部との提携先も含めた全体像を把握。その上で、悪意者がどのような目的や手法でサービスを悪用しようとするのかを洗い出し、それらの行為の難易度や類似の事例を踏まえて、さまざまな悪用の形態を「脅威シナリオ」としてまとめ、各シナリオが当該デジタルサービスに対してどれほどのインパクトを持つかを評価する。
2.ユースケース(ユーザーの利用事例)に基づく脅威の洗い出し
分析対象となるデジタルサービスが持つ特有のユースケースに重点をおいて、悪用された場合のあらゆるリスクを洗い出す。その中から、実際に起きる可能性の高いリスクのメカニズムを分析し、当該リスクと現在の対策とのギャップを評価する。
3.脅威シナリオに対する対応策の立案・提示
作成した脅威シナリオをもとに、デジタルサービスの仕様にセキュリティ対策として組み込むべき事項を、対応方針として提示。また、各対応方針について、脅威の「予防」「検知」「抑止」「低減」等の採るべき具体策を提示する。
企業はこのサービスを用いることで、自社だけでは見落としてしまう可能性のある脆弱性に気づいたり、より適切なサービス設計やシステムの実装を図ったりすることができる。また、企業がデジタルサービスをサービスインするか否かを意思決定する際の判断材料としても、活用できる。