今やあらゆる企業システムにとって、セキュリティ対策は必須の取り組みである。しかし、システムを構築する際に、十分なセキュリティ対策を意識した設計が行われる例は、意外に少ない。そうしたシステムの課題を解決し、IT製品やシステムに対するセキュリティ評価の国際標準であるISO/IEC 15408に準拠したセキュリティ設計を実施するのが、日立ソフトウェアエンジニアリング株式会社(以下、日立ソフト)のセキュリティコンサルティングサービス「セキュリティ設計支援」だ。同社が誇る“国産ベンダーならではのコンサルの力”について聞いた。
ISO/IEC 15408:1999年に発行されたISO/IEC規格の1つ。情報技術セキュリティの観点で、設計や実装状況がセキュアかどうかを評価する国際基準。
現在のシステム開発ではセキュリティ設計が不十分
セキュリティ対策への取り組みは、あらゆる企業システムにとって必要不可欠である。国も「産業競争力のための情報基盤強化税制」の施行や、「政府機関の情報セキュリティ対策のための統一基準」を公表するなど、セキュリティを強化する方針を強く打ち出しており、今後はシステム開発において、セキュリティ設計が必須要件になると考えられている。
セキュリティ設計は、本来ならばシステム開発当初の企画段階から念頭に置くべきである。ところが多くのシステムにおいて、セキュリティ設計が不十分なまま開発が進められているのが実状だ。一方で、システム開発のプロセスにセキュリティ設計を組み込むノウハウがきわめて少ないという課題も依然として残っている。
日立ソフトのセキュリティノウハウを提供
このような課題を解決するために、日立ソフトが提供しているのが、「セキュリティ設計支援サービス」だ。同サービスは、IT製品やシステムに対するセキュリティ評価の国際標準であるISO/IEC 15408の認証を取得したいという企業に対し、日立ソフト自身の認証取得のノウハウを提供するコンサルティングサービスから始まったものだという。
日立ソフトウェアエンジニアリング株式会社ソリューション開発本部
ソリューション開発部
ユニットリーダ, コンサルタント
谷 英夫氏
同社のソリューション開発部でユニットリーダ, コンサルタントの谷英夫氏は、「ISO/IEC 15408の認証取得には多くの時間やコストがかかるため、多くの企業にとって非常にハードルが高いものです。そのため、お客様がこの認証を取得する際に、スムーズな取得ができるようお手伝いするのがこのサービスです。また認証を取得しないまでも、システムに十分なセキュリティを備えるため、ISO/IEC 15408の考え方を応用できないだろうかというニーズに応えるために、セキュリティ設計を支援するサービスを立ち上げました」と、同サービスの背景を解説する。
このサービスの特徴は、IT製品やシステムに対するあらゆる脅威を洗い出し、システムによる機能的な対策、人手の運用による対策などを利便性やコストも含めた観点から検討している点。日立ソフトに蓄積されたノウハウと共に提供されるので、システム全体のセキュリティ向上が効率的に実現するのである。
実際にこのサービスで使われているのは、ISO/IEC 15408の脅威・対策分析の考え方に準じたセキュリティ設計の手法だ。このためリスクに対する最低限必要なセキュリティ機能を、システムに実装したいと考えている企業には、うってつけのサービスとなっているのである。
