NRIセキュアの新製品にみる「デジタルサービスのセキュリティ予防診断」の必要性 - (page 2)

松岡功

2019-08-15 07:00

用意周到なリスク分析による「予防診断」が不可欠

 具体的には、次の3つの機能から構成されている。

 1つ目は「サービス仕様、ビジネスモデルの把握と脅威の洗い出し」。対象となるデジタルサービスのビジネスモデルや仕様、外部との提携先も含めた全体像を把握。その上で、攻撃者がどのような目的や手法でサービスを悪用しようとするのかを洗い出し、それらの行為の難易度や類似の事例を踏まえて、さまざまな悪用の形態を「脅威シナリオ」としてまとめ、各シナリオが当該デジタルサービスに対してどれほどのインパクトを持つかを評価する。

 2つ目は「ユースケースに基づく脅威の洗い出し」。分析対象となるデジタルサービスが持つ特有のユースケースに重点をおいて、悪用された場合のあらゆるリスクを洗い出す。その中から、実際に起きる可能性の高いリスクのメカニズムを分析し、当該リスクと現在の対策とのギャップを評価する。

 3つ目は「脅威シナリオに対する対応策の立案、提示」。作成した脅威シナリオをもとに、デジタルサービスの仕様にセキュリティ対策として組み込むべき事項を、対応方針として提示。また、各対応方針について、脅威の「予防」「検知」「抑止」「低減」などの採るべき具体策を提示する。

 同社では、企業がこのサービスを採用すれば、自社だけでは見落としてしまう可能性のある脆弱性に気づいたり、より適切なサービス設計やシステムの実装を図ったりすることができる、としている。

 以上が発表の内容だが、今回はこのサービスが求められる背景についても同社の説明の大半を記した。というのは、なぜこのサービスが必要か、ということが最も重要だと感じたからだ。つまりは、デジタルサービスのセキュリティ対策については用意周到なリスク分析による「予防診断」が不可欠だ、というのが筆者の主張である。

 例えば、先頃発生したコンビニ最大手セブン-イレブンのスマートフォン決済サービス「7pay(セブンペイ)」の不正アクセス問題にしても、外部の目が入った形で徹底した事前チェックが行われていれば、あのようなレベルの低いミスは起きなかっただろう。

 その意味では、これからデジタルサービスを推進しようという企業にとっては、7pay問題を他山の石として、今回のような新サービスを有効活用すべきだと考える。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]