最終成果物はセキュリティ設計書
サービスは、セキュリティ設計チェックリストを利用して脅威を漏れなく洗い出すことから始まる。
日立ソフトウェアエンジニアリング株式会社ソリューション開発本部
ソリューション開発部
コンサルタント
米光 一也氏
このリストは、設計、実装、運用などの工程ごとのフェーズに分けられており、全部でおおよそ600項目ほどある。日立ソフトのコンサルタントが、顧客のIT製品やシステムの仕様についてヒアリングし、その結果を、セキュリティ設計チェックリストを参考にしながら、システムの物理的・論理的な構成を検証し、脅威に漏れがないかを細部にわたって調査する。対策が必要な個所は、システムに対策機能を追加するのか、それとも人手による運用で対策するのかを検討するという流れだ。
同部のコンサルタントである米光一也氏は、「セキュリティ設計支援サービスのゴールになるのが、『セキュリティ設計書』です。このセキュリティ設計書は、ターゲットとなるお客様のシステムに対する脅威を洗い出し、その脅威にどう対策するかということをアウトプットしたものです」と話す。
セキュリティ設計書は、脅威に漏れがないか、説明に誤りがないかなどのレビューが重ねられ、その結果に基づいて修正が加えられる。そして、修正された最終版のセキュリティ設計書が、このサービスの最終的な成果物になる。
セキュリティ設計の工数を削減
セキュリティに関するコンサルティングサービスは、多くのSIベンダーやコンサルティングファームが提供しているが、日立ソフトならではの強みとは何だろうか。
谷氏と米光氏は「日立ソフトだからこそ、という強みは2点あります」とし、次のように解説する。
「1点目は、セキュリティ設計書を当社が作成するという点です。セキュリティ設計書は、ISO/IEC 15408の認証取得の際の審査で最も重視されるものなのですが、非常に複雑でわかりにくく、かつ専門的な内容です。これをお客様が1から作成するとなると、それだけで非常に時間がかかってしまいます。当社のサービスでは、お客様へのインタビュー方式で情報をいただき、将来的な認証取得も視野に入れながらセキュリティ設計書を作成しますので、お客様の負担減に貢献できます。日立ソフトのコンサルタントは、他社への本サービスの提供のみならず、実際に自社開発製品に対してISO/IEC 15408の認証を取得したため、具体的なノウハウを保有しております。」(米光氏)
「もう1点は、セキュリティ設計チェックリストの品質です。チェックリストには、ソフトウェア開発ベンダーとしての日立ソフトのノウハウや実践を通したフィードバックがふんだんに盛り込まれており、システム開発において取り組まなければならないセキュリティ対策の項目を効果的に見つけ出すことができます。ものづくりの企業である日立グループに属する当社ならではの強みだと考えています」(谷氏)
セキュリティ設計チェックリストのイメージ1
セキュリティ設計チェックリストによって、システムを脅かす課題を見つけだすことが可能。日立ソフトのコンサルの目が、些細な脅威も洗い出す。
※クリックすると拡大します。
セキュリティ設計チェックリストのイメージ2
セキュリティ設計チェックリストを利用することで、具体的なノウハウの開発者へ短期間で徹底できるほか、一定レベルのセキュリティ品質を確保できるなどメリットがある。
※クリックすると拡大します。
