~ システム設計段階から必要なセキュリティ要件の充足を評価する ~「セキュリティ・バイ・デザイン」に基づいたセキュリティ強化スキームを構築

NRIセキュアテクノロジーズ

From: PR TIMES

2023-05-10 16:46

MS&ADインシュアランス グループにおいて、保険関連の情報システム全般にわたる企画・設計・開発・運用を担うMS&ADシステムズ株式会社(社長:津田 卓也、以下「MS&ADシステムズ」)は、NRIセキュアテクノロジーズ株式会社(社長:建脇 俊一、以下「NRIセキュア」)の支援を受けて、従来のシステム開発工程を見直し、2022年10月に「セキュリティ・バイ・デザイン(注)」の考え方に基づいたセキュリティ強化スキームを構築しました。
これにより、システムの設計段階において、必要なセキュリティ要件に漏れがないかを評価できるようになり、デジタルトランスフォーメーション(DX)時代にふさわしい「システム開発のスピード」と「セキュリティ確保」の両立を実現しました。

(注)情報セキュリティを企画・設計段階から確保するための方策のこと。



1.新スキーム開発の背景
MS&ADグループは、2022年4月から4年間の中期経営計画において、「リスクソリューションのプラットフォーマーとして、社会と共に成長する」ことを目指しており、その実現のために「デジタルやデータの力を活用したリスクコンサルティングの高度化」に取り組んでいます。この目指す姿の実現に向け、グループ傘下の保険事業会社が開発する情報システムは、各事業に則する形で開発スピードが重視されてきました。

その中で大きな課題となっていたのが、短い開発ライフサイクルを維持しつつ、高度なセキュリティを確保することでした。従来の開発工程では、システムをリリースする直前にセキュリティ診断を行うことが一般的です。しかしながら、開発工程の終盤において不備が発覚すると、その対応のためにリリース期日が遅延したり、追加コストが発生したりする可能性があるため、ビジネス上の大きなリスクとなります。そうした背景から、セキュリティを確保しながら予定通りにリリースするための手法が求められていました。そこでMS&ADシステムズとNRIセキュアは、システム開発の上流工程で必要なセキュリティ対策を盛り込む「セキュリティ・バイ・デザイン」の考え方を活用し、この課題を解決することとしました。

2.新スキームの概要
具体的には、システム開発をパートナー会社へ委託する際、RFP(提案依頼書)と一緒にパートナー会社に提示する「セキュリティ対策充足確認資料の記載要領」を新たに作成しました。企画するシステムが他のどんなシステムとつながり、どういったデータを扱うのかなどをまとめた資料です。これをもとに、パートナー会社は提案書と「セキュリティ設計書資料」をセットで提示します(図を参照)。

その結果、保険事業会社に負荷をかけることなく、設計の段階でシステムに必要なセキュリティ要件に漏れがないかを評価できるようになりました。また、守るべきデータのありかが可視化され、セキュリティを確保する意識が向上し、リリース遅延やコスト増のリスクを低減させることに成功しました。

※詳細は右記ホームページ( (リンク ») )をご参照ください。

【 図:保険事業会社が開発する情報システムの開発工程と、セキュリティ対策の流れ 】
[画像: (リンク ») ]


プレスリリース提供:PR TIMES (リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]