2024年12月16日、NRIセキュアテクノロジーズ(NRIセキュア)は、「SEC Team Services」の新たなラインナップの1つとして、「脅威モデリングサービス」を提供開始した。
同サービスは、システム開発・運用で発生する可能性のある脅威を設計段階で洗い出し分析することで、セキュリティ対策の妥当性を評価し、対策を提案するものだという。システム開発の初期段階からセキュリティを考慮し対策を盛り込む、セキュリティ・バイ・デザインを実現。開発工数を削減でき、運用時のセキュリティリスクを再検討する負荷を軽減できるとしている。
なお、同サービスは以下のプロセスで対策を提案するとのことだ。
- 脅威モデルの作成:提供されたシステム構成を分析し、脅威モデルと想定される脅威の一覧を作成
- 脅威分析:脅威フレームワークを用いて、脅威モデルと想定される脅威一覧から脅威を分析
- リスク分析:脅威が発生する可能性と組織に及ぼす影響を分析し、危険度および対策優先度を評価
- 対策の立案:リスク評価結果に対して、システムの特性に合わせたセキュリティ管理策例を作成。評価結果全体のセキュリティ管理策を整理し、対応優先度や要否判断も付加した上で一覧化する
同サービスの特徴は以下のとおり。
セキュリティ対策を最適化
脅威につながるシステムの接続点や、脅威が潜んでいる可能性があるシステムコンポーネントを把握でき、潜在的な脅威を可視化できるという。システム開発ライフサイクルの早い段階で、システム全体の脅威を特定でき、必要最低限の工数で過不足のないセキュリティ対策を実現するとのことだ。
継続的なセキュリティ活動の実現
対象システムをベースとした脅威モデルが得られ、エンハンス時のリスク評価や継続的な脅威分析にも活用可能。アジャイル開発に取り入れることで、効果的にセキュリティ活動を行えるという。開発・運用担当者がイメージしやすい形で脅威モデルリングサービスの成果物を提供するため、セキュリティ担当者と開発・運用担当者との認識の差が低減し、DevSecOpsの社内醸成にも寄与するとしている。
Webアプリケーション診断やペネトレーションテストの補強
Webアプリケーション診断では、詳細な評価が難しいシステム設計に起因するセキュリティリスクを可視化できるとのことだ。また、攻撃シナリオにもとづいて脅威を机上で評価できるため、ペネトレーションテストに先立って、設計段階からセキュリティ対策を検討できるという。
【関連記事】
・NRIセキュア、「欧州IoTセキュリティ法規準拠支援サービス」提供 ロードマップ策定から実行まで支援
・NRIセキュア、宇宙産業の企業に向けたサイバーセキュリティ支援サービスを提供開始
・NRIセキュア、特権ID管理の「SecureCube Access Check」運用サービスを提供
