NRIセキュアテクノロジーズ(以下、NRIセキュア)は、DevSecOpsの実践を支援する「DevSecOps実行支援サービス」のラインナップに、「DevSecOps成熟度評価・ロードマップ策定サービス」を追加し、提供を開始した。
サービスの主な提供プロセスと特徴
セキュリティコンサルタントの知見と最新の脅威動向に基づき、現状の開発プロセス・体制・運用形態・利用技術などを整理し、DevSecOpsの成熟度を分析・可視化するという。そのうえで、実施すべきセキュリティ対策の優先順位を明確化し、実行可能なロードマップとして提示。これにより、DevSecOpsの重要性や必要な対策を経営層と共有しやすくなり、開発現場から経営層までの合意形成を支援するとのことだ。
主な提供プロセスは以下のとおり。
1.開発プロジェクトに関するヒアリング
企業・組織におけるDevSecOpsの成熟度を把握するため、OWASPが提供するフレームワーク「DevSecOps Maturity Model(DSOMM)」を参考に、開発プロセス・体制・運用状況などを一元的に整理するという。
2. 現状のDevSecOps成熟度を分析・可視化
ヒアリング結果に基づいてDevSecOps成熟度を分析し、現状の達成状況を可視化。AIを活用した開発における脆弱性混入やライセンス管理の観点も踏まえ、既存のセキュリティ対策が開発プロセス内で有効に機能しているかを、実態に即して評価するとのことだ。
3.セキュリティ対策ロードマップの作成
リスクや影響度、対策効果の観点からセキュリティコンサルタントが優先順位を整理し、実施すべき対策とその順序を明確にしたロードマップを提示するという。
4. 評価結果・ロードマップの提示・報告
評価結果を踏まえた報告書やエグゼクティブサマリの作成、および報告会の実施を通じて、開発部門内の理解促進と、経営層の迅速な意思決定を支援するとしている。
なお、ロードマップ策定後の実行段階においては、「DevSecOps実行支援サービス」の各支援メニューと組み合わせることで、対策実行とDevSecOpsの定着に向けた継続的な推進を支援することが可能だと述べている。
【関連記事】
・GMO Flatt Security、ソフトウェアサプライチェーンの診断・攻撃演習サービスを提供開始
・Cognition、セキュリティ自律化システムを発表 エンジニアリングと同等のスピードで脆弱性対処を
・Linux Foundation、MythosなどAIによる脆弱性発見を念頭にOSSの業界横断セキュリティ強化イニシアチブを発表
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
