NRIセキュアテクノロジーズ(以下、NRIセキュア)は、野村総合研究所(NRI)と共同で、DX推進におけるトータルなセキュリティ対策を実現し、安全・安心なクラウド利活用を実現するプラットフォームサービスとして「NRIデジタルトラスト(仮称)」の提供を開始すると発表した。第一弾として、2025年度上期にOracle Alloy向けのサービスを開始するという。
同サービスは、企業におけるシステムライフサイクル全体でのサイバーセキュリティとオペレーショナル・レジリエンスの確保を目的とし、関連する各種ガイドラインや法規制に準拠するセキュリティ機能をあらかじめ組み込んだプラットフォームサービスだという。第一弾として、2025年度上期にOracle Alloyを介して、3コンポーネントの提供を開始し、順次機能を追加していく予定だとしている。
提供を開始する3つのコンポーネントは以下のとおり。
1. セキュア開発プラットフォーム
ソフトウェア・AI開発工程において「セキュリティ・バイ・デザイン」を標準的に組み込み、SAST、DAST、IASTなどの手法を取り入れ、SCA、SBOMの管理による透明性確保を実現できるプラットフォームだという。ソフトウェア開発チームのアクセス権限管理とふるまい検知、CI/CDパイプラインも実装しており、開発生産性を維持しつつ、セキュアなコード品質を確保するとのことだ。
- SAST:Static Application Security Testingの略で、アプリケーションのソースコードを静的に解析し、脆弱性を特定するための検査手法。アプリケーションが動作していなくても実施可能で、開発の初期段階で脆弱性を検出するために実施される
- DAST:Dynamic Application Security Testingの略で、稼働しているアプリケーションに対して、攻撃者の視点を踏まえて疑似的な攻撃(検査)リクエストを送信し、アプリケーションの挙動の変化から脆弱性があるかどうかを判定する検査手法
- IAST:Interactive Application Security Testingの略で、アプリケーションと一体的に稼働させ、実行環境を監視しながら脆弱性の検出を行う検査手法
- SCA:Software Composition Analysisの略で、ソフトウェア構成分析とも呼ばれる。ソフトウェアの開発工程および運用工程において、利用しているライブラリとバージョンを把握し、それらに含まれる既知の脆弱性を検出し、管理するための技術
2. セキュリティビルトインクラウド
NRIのマルチクラウド環境「NRIマルチクラウド」にセキュリティ機能を組み込み、IT基盤構築とセキュリティ運用がビルトインされたクラウド環境を提供するという。具体的には、構成把握・分析や脆弱性ダッシュボード、アセスメントのASM、CTEM、クラウドセキュリティツールのxSPMやCWPPにも連携しているとのことだ。運用における脆弱性管理やパッチ適用をシームレスに実行し、法規制遵守を支えるとしている。
3. サイバーフュージョンセンター
24時間365日でイベントやログをAI分析し、XDR(Extended Detection and Response)による継続的な検知と対応を強化するという。セキュリティインシデント発生時には、アクセス権限の動的制御や迅速な封じ込め、バックアップデータのリストア(復元)などを行うことが可能。これにより、オペレーショナル・レジリエンスを高め、インシデントによる影響の最小化を図ることができるとしている。
3つのコンポーネントを支える「NRIセキュアインテリジェンスセンター」は、セキュリティリスクマネジメントに関わるインテリジェンスを収集・統合・分析し、企業の意思決定の支援や政策提言を行っている組織だ。同サービスにおいて、開発から運用に至るまでの各段階において、サイバー攻撃の解析、脆弱性情報の収集、対応すべき法規制要件などのインテリジェンスをタイムリーに提供していくと述べている。
【関連記事】
・NRIセキュア、「Cloudflare WAF」のクラウド型管理サービスを提供開始 運用管理まで支援
・NRIセキュア、SBOMによる脆弱性監視の支援サービスを提供開始 脆弱性情報収集の負担を軽減
・NRIセキュア「脅威モデリングサービス」提供 システム開発・運用時の脅威を設計段階から分析・対策へ
