デジタルサービスの普及にともない、システムの脆弱性だけでなくビジネスやサービス仕様の隙を悪用する「デジタルクライム」が新たな脅威として顕在化しています。組織の垣根を越えてサービス同士が連携し社会の利便性が高まる一方、現場の担当者だけでなく、ビジネス部門や経営層もリスクを正しく理解し意思決定に関与する「セキュリティの民主化」が不可欠な時代になりました。
その実現を支えるのが、企画・開発の上流工程からリスクを洗い出す「セキュア・バイ・デザイン」のアプローチであり、サービスリスク分析や脅威モデリングといった手法です。
本記事では、安心して利用できるデジタルサービスを企画・提供するためのポイントを、野村総合研究所の齋藤大地と、NRIセキュアテクノロジーズの関戸亮介が語ります。
-
齋藤 大地
- 2012年野村総合研究所に入社、直後にNRIセキュアテクノロジーズに出向し、数多くの情報セキュリティ関連プロジェクトに従事する。1年間の北米での研修を経て、現在、社内CSIRT構想コンサルティング、社内CSIRT運営改善支援コンサルティング等、主に企業のサイバー攻撃対応を支援するセキュリティコンサルタントとして、日々の業務に邁進している。
-
関戸 亮介
- 「安全なシステム」の実現を目指し、脅威モデリングや各種アセスメントを通じたセキュアな設計、ソースコードレビューなどを実施。金融・流通・報道業界のお客様をはじめとする、さまざまな開発チームと二人三脚で支援している。
「デジタルクライム」とは?|ビジネス仕様の隙を突く新たなサイバー脅威
NRIセキュアテクノロジーズ株式会社 関戸 亮介
Q:企業内でのDXに続き、あらゆる分野でデジタルサービスが広がり始めていますね。
Q:一方サイバー脅威という面では、デジタルサービス時代ならではの課題も浮上しています。
国内銀行口座を悪用したデジタルクライム事例(イメージ)
Q:デジタルクライムは、いわゆるサイバー攻撃とは違うのでしょうか?
なぜ事業部門・経営層にセキュリティ理解が必要か|「セキュリティの民主化」の重要性
Q:今おっしゃった問題は、リリース前に問題をチェックする脆弱性診断だけでは防ぎきれないのでしょうか。
株式会社野村総合研究所 齋藤 大地
Q:近年、サイバーセキュリティの領域ではサプライチェーンリスクの高まりが指摘されていますが、その観点からも必要な観点ですね。
多様な組織・サービス・システムが連携し、豊かなデジタル社会を構成する
「ちょうどいいセキュリティ」を実現する|セキュア・バイ・デザインと脅威モデリングの実践
Q:では、企画段階からリスクを意識し、適切な対策を打つ上で重要なポイントは何でしょうか。
Q:現行のセキュリティガイドラインに準拠していても不十分なのでしょうか?
Q:では最後にビジネスの観点から、安全なデジタルサービスを提供するに当たっての心構えを教えてください。
おわりに
デジタルクライム時代に企業が押さえるべきポイントは、次の3点です。
- ■デジタルクライムへの認識アップデート
脆弱性対策だけでなく、ビジネス仕様の隙を突く犯罪への備えが必要
- ■「セキュリティの民主化」の推進
経営層・ビジネス部門もリスクを理解し意思決定に関与する
- ■「セキュア・バイ・デザイン」の実践
企画段階からリスクを洗い出し、事業特性に応じた「ちょうどいいセキュリティ」を実現する
NRIセキュアテクノロジーズでは、サービスリスク分析、脅威モデリングを通じて、安全なデジタルサービスの実現を上流工程からご支援しています。
<関連サービス>
脅威モデリングサービス
デジタルサービス向けリスク分析支援