NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、Webサービスやスマートフォンのアプリケーション等のプロダクト開発に取り組む組織に対して、セキュリティコンサルタントがオンラインで常駐し、設計・開発・運用におけるセキュリティ課題の解決を支援する、「SEC Team Services(以下、本サービス)」の提供を、本日開始します。
セキュリティチームの人員確保やスキルに課題
従来のシステム開発は、発注元である企業が提示する要件にそって開発ベンダが請負開発をする方式が主流でした。しかし昨今では、試行錯誤を繰り返しながらプロダクトを継続的に開発する「アジャイル開発」[i]を用いて開発プロセスを内製化するケースが増えています。
内製が進む中、チーム横断で「セキュリティチーム」を組織することで、セキュリティレベルを担保する取り組みも進んでいます。しかしながら、セキュリティチームの活動は多岐にわたり、さらにそれぞれの領域で専門的な知識が必要なため、人員の確保やスキルに課題がある場合もあります。
本サービスの概要
本サービスは、多くのセキュリティチームに対してコンサルティングサービスを提供してきたNRIセキュアの専門家が「オンライン常駐」し、当該チームの課題や悩みの解消を支援するものです。なお、オンライン常駐の方式は、チャットツールやWeb会議等の利用を想定しています。
図:DevOps[ii]のプロセスとSEC Team Servicesで提供可能な支援内容
提供予定のオプションサービスを含む本サービスの活用例は、以下の通りです。このほかにも要望に応じた支援が可能です。
1.開発工程(Dev)におけるセキュリティ課題の解決
開発を行う現場部門では、「社内にどのようなセキュリティ規程が存在するか」「ガイドラインに沿うには何をすればよいか」「暗号化処理方式やコードの書き方にセキュリティ上の問題がないか」といった悩みが散見されます。本サービスでは、開発者へのセキュリティ教育をはじめ、設計から開発工程にかけてのアドバイザリ(助言)を提供します。さらに、セキュリティ設計評価や各種セキュリティ診断等を組み合わせ、より具体的な支援を行うことも可能です。
2.運用工程(Ops)におけるセキュリティ課題の解決
昨今のシステムはオープンソースソフトウェア(OSS)[iii]をはじめとする様々な要素を組み合わせて構成されることが多く、セキュリティを強化するためには、利用しているOSS等の脆弱性情報を収集し対応する必要があります。本サービスを活用することで、開発したシステムへの脆弱性の影響や深刻度の評価を、オンライン常駐しているセキュリティコンサルタントに相談することができます。
3.既存の開発プロセスをよりセキュアに
従来は、セキュリティ観点のチェックはシステムリリース直前の最終段階でのセキュリティ診断に頼ることが多く、セキュリティ上の問題が発見された場合、手戻りが発生しリリースのスケジュール等に影響を及ぼすリスクを抱えていました。このようなリスクを回避するためには、DevSecOpsの考え方を取り入れることが有効です。DevSecOpsに詳しいセキュリティコンサルタントが支援することにより、既存の開発プロセスを活かして開発者の負担を下げながら、効果的なセキュリティ対策につなげます。
本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/sec-team-services
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
[i] アジャイル開発:各開発工程を機能単位の小さいサイクルで繰り返す開発手法です。
[ii] DevOps:開発(Dev)と運用(Ops)が互いにプロセスを統合し、迅速な開発と効率的な運用を、小さなサイクルにまとめ継続することで実現するアプローチを指します。
[iii] オープンソースソフトウェア(OSS):再配布を自由に認めることやソースコードを無償で配布することなどに準拠したライセンスを持つソフトウェアのことを指します。
ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社 広報担当
E-mail:info@nri-secure.co.jp