本連載では、筆者が「気になるIT(技術、製品、サービス)」を取り上げ、その概要とともに気になるポイントを挙げてみたい。今回は、NRIセキュアテクノロジーズが提供する「デジタルサービス向けリスク分析支援サービス」を取り上げる。
デジタルサービスを企画、要件定義する段階から関与
NRIセキュアテクノロジーズ(NRIセキュア)は先頃、デジタルサービスの開始を検討している企業向けに、情報セキュリティに関わる潜在的なリスクを洗い出し、その対策の立案を支援する「デジタルサービス向けリスク分析支援サービス」を提供開始すると発表した。
デジタルトランスフォーメーション(DX)の進展を受け、企業はデジタル技術を活用して自社のコアビジネスをデジタル化することで、競争力を高めようとする動きが加速している。そこで生み出されるデジタルサービスのビジネスモデルや業務プロセスには、「新規の技術やソフトウェアを採用していることが多い」「社内外のウェブサービスやシステムとつながることが多い」「提供形態やビジネスモデルは多種多様で関係するステークホルダーが多い」といった特徴がある。
このようにデジタルサービスは複雑な構造になりがちなため、サービスを構成する要素にセキュリティの脆弱性が潜んでいても、見落とされやすくなる。また、それを突くサイバー攻撃や不正利用が起きた場合に、利用者の安全を脅かしたり資産を毀損したりするほか、ビジネスそのものに負の影響をもたらす可能性もある。
デジタルサービスを安全かつスピーディに提供するためには、より早い段階でのリスク分析が有効だ。具体的には、サービスの企画・要件定義の段階でリスク評価を行い、想定される脅威を洗い出した上で、それに対応するセキュリティ要件をサービスの仕様として組み込んだシステムを設計することが推奨される。
また、セキュリティの対象領域は広がっており、プライバシーや身体の安全の担保、提供サービスに対する利用者の信頼性確保などの観点からも考慮することが、求められるようになってきている。
NRIセキュアの新サービスは、企業がデジタルサービスを企画、要件定義する段階から関わり、ビジネスモデルとユースケースの観点から、デジタルサービスの脅威となりうるリスクを網羅的に洗い出し、適切なセキュリティ対策を提示するものである。(図1)
図1:デジタルサービス向けリスク分析支援サービスの全体像(出典:NRIセキュアテクノロジーズ)
