セキュリティ€NRI...NRIセキュアテクノロジーズ株式会社 〒100-0004...
8
セ キ ュ リ テ ィ デジタルトランスフォーメーションを 支えるセキュリティ
Transcript of セキュリティ€NRI...NRIセキュアテクノロジーズ株式会社 〒100-0004...
NRIセキュアテクノロジーズ株式会社〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル
[email protected]. jp www.nr i-secure.co. jp
セキュリティ デジタルトランスフォーメーションを支えるセキュリティ
AI IoT 5G AR/VR
ブロックチェーン ウェアラブル ハプティクス
VERIFYPACKAG
E
PLAN
CREA
TE
MONITO
R
CONFIGURERELE
ASE
DEV OPS
50.3%
22.7%
54.1%
23.2%
38.1%
11.6%
DX 取り組みあり(n=551)
DX 取り組みなし、まだわからない(n=1,234)
自社で開発を行なっている
自社で開発を行っていない
わからない
DX取り組みあり(n=277)
DX取り組みなし、まだわからない(n=280)
アジャイル/DevOpsを採用している
アジャイル/DevOpsの採用を検討中
アジャイル/DevOpsを採用していない
49.1%33.2%
12.9%24.9%
26.0%
53.9%
複数のニューテクノロジーの活用と組み合わせが新たな価値を生む
ビジネス仮説(アイディア)
PoC(概念実装)
市場調査(リサーチ)
開発プロセスの準備(スプリント0)
サービス設計
check!
check!システムアーキテクチャレベルで効率的なセキュリティ対策を実現
効率的な開発と高いセキュリティを両立させるプラットフォームの準備
check! DevOpsプロセスの中でセキュリティを改善し続けるDevSecOpsの実現check!サービス仕様に潜むセキュリティリスク洗い出し、対策を組込む
check!ビジネスモデル自体にセキュリティ・プライバシー上の問題がないか
DXとセキュリティの切れない関係
デジタルテクノロジーを活用した「新しい価値の創出」
野村総合研究所では、「DX1.0デジタルバックは、企業活動のデジタル化。
DX1.0デジタルフロントは、エンドユーザー向け活動のデジタル化。
DX2.0は、エコシステムを目指した業界横断プラットフォームの構築。」
と定義しています。
ニューテクノロジーの台頭、ITシステムの老朽化、少子高齢化、社会や
ライフスタイルの多様化、市場の成熟化など、複数の要因が重なり、
新たな価値創出に向けた動きが加速しています。
DXの実現に向けたプロジェクトのセキュアな進め方
デジタル革命に伴うビジネスモデルの変革は、ITシステム・サービスの
あり方にも影響を及ぼし、サイバーセキュリティに関わる脅威の性質も
変化させます。DXに取り組む中で、セキュリティをどのように位置づけ、
どう取り組めばよいのでしょうか。
実際にDXに取り組むうえで、アジャイル開発を基本として進める場合には、
はじめから大きなものを作るのではなく、小さいところからプロジェクト
をスタートし、徐々に拡大させていくという形が多くなります。その
ため、その時々のレベルや規模に応じたセキュリティを担保していか
なければなりません。
プロジェクトがスタートしたばかり、あるいはサービスを開始したばかり
だからといって、セキュリティをおろそかにすれば、将来的に大きな
リスクを抱え込むことにもなりかねません。アイディアを作り出す段階、
あるいはPoC(Proof of Concept:概念実証)の段階からセキュリティを
考慮し、システムやビジネスモデルの中に組み込んでおくことが必要です。
DXプロジェクトにセキュリティ担当者を組み込むべき
アジャイル開発ではリリースサイクルが短くなるため、リリースの
タイミングだけでセキュリティを担保するのは難しい面があります。
NRIセキュアでは、開発プロセスの各フェーズでどういったことを考慮
すべきか、具体的なアドバイスを提供し、セキュリティを組み込んだ形
でのアジャイル開発を支援しています。一方で、外部リソースを利用する
だけでなく、個々の企業でセキュリティ人材を育成するという取り組みは
欠かせません。技術的に深いレベルまで精通している必要はありませんが、
少なくともセキュリティに関して旗振り役となり、セキュリティレベル
向上に向けた施策を推進できる人材を配置しておかなければ、スピード感
を持ってDXに取り組むことはできないでしょう。
DXセキュリティで気をつけたいこと
これまでのITセキュリティは、システムの脆弱性に対する攻撃をどう防ぐか
という観点で考えられていました。しかしDXが進んで新たなビジネスが
創出されると、そのビジネスモデルの弱点を突いた攻撃が生まれるのでは
ないかと危惧されています。
例えば単体のサービスであれば安全であっても、別のサービスやテクノ
ロジーを組み合わせたときにリスクが生じる可能性もあります。さらに
サービスを提供するビジネスのロジックに穴があることも起こりえる
ため、ビジネスモデルを理解したうえでセキュリティ上のリスクがないかを
検証する取り組みが必要です。また、DXを実現するテクノロジーの1つ
としてIoTに注目が集まっていますが、それをビジネスの中に取り入れる
際には、ハードウェアの調達も含めたサプライチェーン全体でセキュリティ
を捉えることも重要になってきます。
DXが推進されるにつれて、デジタルビジネスのリスクを強く意識する
必要性が高まっています。DX時代のセキュリティはビジネスモデルや
そこに含まれるロジックまで含めて検討する必要があります。
DXではビジネスプロセスの各段階でのセキュリティの考慮・組み込みが必要
DXへの取り組みと阻害要因の実態
一方で、 データ・テクノロジー・プレイヤー・ビジネスモデルの多様化により、開発をはじめとするさまざまな業務プロセスに混乱が生じ、DXを
推進しにくい環境も生まれています。
NRIセキュアの「企業における情報セキュリティ実態調査2019」による
と、アメリカ・シンガポールの回答企業の約85%がDXに取り組んでいるなか、日本では30 . 7%にとどまっており、大きな阻害要因としては、「技術
力を持つ人員の確保」や「新技術に対する理解」、「予算配分や投資判
断」が多く挙げられていました。
開発を行う企業はアジャイルやDevOpsの採用にも積極的
DXに取り組む企業では、小さな単位で実装とテストを繰り返して開発を
進める「アジャイル開発」に取り組むケースが多いです。
それは、不確実性の高いDXでは事業そのものをアジャイル(機敏)に変化
させていくことが求められ、それらのビジネス要求を実現するための開発・
運用形態が不可欠になるからです。DXに取り組むアジャイル型の開発、
内製も含めた開発体制の見直しは、デジタル事業における選択肢を増やす
ことにつながります。
また、自社開発と外部への委託開発を併用するケースも多いでしょう。
世の中にあるサービスや専門家のリソースを活用しながら、事業の中核は自
社で開発することが、DXの事業リスクをコントロールしつつ他社との差
別化を図るうえで重要です。
開発フェーズビジネス企画フェーズ
デジタルサービスの企画・開発プロセスにおいて考慮すべきセキュリティチェックポイント
アメリカ(n=509)
シンガポール(n=504) 85.6%
85.3% 6.5%
DXに取り組んでいる企業
日本(n=1,794) 30.7% 39.2%
取り組んでいる 取り組んでいない
デジタルトランスフォーメーション、通称「DX」とは何なのか
自社開発企業のアジャイル型開発またはD e v O p s の採用状況
01 02
30%
8.3%
5.6% 8.7%
わからない・その他
出所:NRIセキュアテクノロジーズ株式会社「NRI Secure Insight 2019」
出所:NRIセキュアテクノロジーズ株式会社「NRI Secure Insight 2019」
AI IoT 5G AR/VR
ブロックチェーン ウェアトラブル ハプティクスVERIFY
PACKAGE
PLAN
CREA
TE
MONITO
R
CONFIGURERELE
ASE
DEV OPS
50.3%
22.7%
54.1%
23.2%
38.1%
11.6%
DX 取り組みあり(n=551)
DX 取り組みなし、まだわからない(n=551)
自社で開発を行なっている
自社で開発を行っていない
わからない
DX取り組みあり(n=277)
DX取り組みなし、まだわからない(n=280)
アジャイル/DevOpsを採用している
アジャイル/DevOpsの採用を検討中
アジャイル/DevOpsを採用していない
49.1%33.2%
12.9%24.9%
26.0%
53.9%
複数のニューテクノロジーの活用と組み合わせが新たな価値を生む
ビジネス仮説(アイディア)
PoC(概念実証)
市場調査(リサーチ)
開発プロセスの準備(スプリント0)
サービス設計
check!
check!システムアーキテクチャレベルで効率的なセキュリティ対策を実現
効率的な開発と高いセキュリティを両立させるプラットフォームの準備
check! DevOpsプロセスの中でセキュリティを改善し続けるDevSecOpsの実現check!サービス仕様に潜むセキュリティリスク洗い出し、対策を組込む
check!ビジネスモデル自体にセキュリティ・プライバシー上の問題がないか
DXとセキュリティの切れない関係
デジタルテクノロジーを活用した「新しい価値の創出」
野村総合研究所では、「DX1.0デジタルバックは、企業活動のデジタル化。
DX1.0デジタルフロントは、エンドユーザー向け活動のデジタル化。
DX2.0は、エコシステムを目指した業界横断プラットフォームの構築。」
と定義しています。
ニューテクノロジーの台頭、ITシステムの老朽化、少子高齢化、社会や
ライフスタイルの多様化、市場の成熟化など、複数の要因が重なり、
新たな価値創出に向けた動きが加速しています。
DXの実現に向けたプロジェクトのセキュアな進め方
デジタル革命に伴うビジネスモデルの変革は、ITシステム・サービスの
あり方にも影響を及ぼし、サイバーセキュリティに関わる脅威の性質も
変化させます。DXに取り組む中で、セキュリティをどのように位置づけ、
どう取り組めばよいのでしょうか。
実際にDXに取り組むうえで、アジャイル開発を基本として進める場合に
は、はじめから大きなものを作るのではなく、小さいところからプロジェ
クトをスタートし、徐々に拡大させていく形が多くなります。そのた
め、その時々のレベルや規模に応じたセキュリティを担保していかな
ければなりません。プロジェクトがスタートしたばかり、あるいはサービ
スを開始したばかりだからといって、セキュリティをおろそかにすれ
ば、将来的に大きなリスクを抱え込むことにもなりかねません。アイ
ディアを作り出す段階、あるいはPoC(Proof of Concept:概念実証)の
段階からセキュリティを考慮し、システムやビジネスモデルの中に組み込
んでおく必要があります。
DXプロジェクトにセキュリティ担当者を組み込むべき
アジャイル開発ではリリースサイクルが短くなるため、リリースの
タイミングだけでセキュリティを担保するのは難しい面があります。
NRIセキュアでは、開発プロセスの各フェーズでどういったことを考慮
すべきか、具体的なアドバイスを提供し、セキュリティを組み込んだ形
でのアジャイル開発を支援しています。
DXセキュリティで気をつけたいこと
これまでのITセキュリティは、システムの脆弱性に対する攻撃をどう防ぐか
という観点で考えられていました。しかしDXが進んで新たなビジネスが
創出されると、そのビジネスモデルの弱点を突いた攻撃が生まれるのでは
ないかと危惧されています。
例えば単体のサービスであれば安全であっても、別のサービスやテクノ
ロジーを組み合わせたときにリスクが生じる可能性もあります。さらに
サービスを提供するビジネスのロジックに穴があることも起こりえる
ため、ビジネスモデルを理解したうえでセキュリティ上のリスクがないかを
検証する取り組みが必要です。また、DXを実現するテクノロジーの1
つとしてIoTに注目が集まっていますが、IoTをビジネスの中に取り入れ
る際には、ハードウェアの調達も含めたサプライチェーン全体でセキュリ
ティを捉えることも重要になってきます。
DXが推進されるにつれて、デジタルビジネスのリスクを強く意識する
必要性が高まっています。DX時代のセキュリティはビジネスモデルや
そこに含まれるロジックまで含めて検討する必要があるのです。
DXではビジネスプロセスの各段階でのセキュリティの考慮・組み込みが必要
DXへの取り組みと阻害要因の実態
一方で、「データ・テクノロジー」「プレイヤー」「ビジネスモデル」の多様化
により、開発をはじめとするさまざまな業務プロセスに混乱が生じ、
DXを推進しにくい環境も生まれています。NRIセキュアの「企業における
情報セキュリティ実態調査2019」によると、アメリカ・シンガポールの
回答企業の90%以上がDXに取り組んでいるなか、日本では約44%に
とどまっており、大きな阻害要因としては、「技術力を持つ人員の確保」や
「新技術に対する理解」、「予算配分や投資判断」が多く挙げられて
いました。
開発を行う企業はアジャイルやDevOpsの採用にも積極的
DXに取り組む企業では、小さな単位で実装とテストを繰り返して開発を
進める「アジャイル開発」に取り組むケースが多いです。
それは、不確実性の高いDXでは事業そのものをアジャイル(機敏)に変化
させていくことが求められ、それらのビジネス要求を実現するための開発・
運用形態が不可欠になるからです。DXに取り組むアジャイル型の開発、
内製も含めた開発体制の見直しは、デジタル事業における選択肢を増やす
ことにつながります。
なお、自社開発と外部への委託開発を併用するケースも多いと考えられ
ます。世にあるサービスや専門家のリソースを活用しつつも、事業の中核は
自社で開発することが、DXの事業リスクをコントロールしつつ他社との
差別化を図るうえで重要です。
日本(n=1,255)
DXに取り組んでいる企業
開発フェーズビジネス企画フェーズ
デジタルサービスの企画・開発プロセスにおいて考慮すべきセキュリティチェックポイント
アメリカ(n=467)
シンガポール(n=460) 93.9% 6.1%
92.9% 7.1%
43.9% 56.1%
取り組んでいる 取り組んでいない
デジタルトランスフォーメーション、通称「DX」とは何なのか
DX取り組み別の自社開発企業のアジャイル型開発またはD e v O p s の採用状況
01 02
一方で、外部リソースを利用するだけでなく、個々の企業でセキュリティ人
材を育成するという取り組みは欠かせません。技術的に深いレベルまで精通
している必要はありませんが、少なくともセキュリティに関して旗振り役
となり、セキュリティレベル向上に向けた施策を推進できる人材を配置し
ておかなければ、スピード感を持ってDXに取り組むことはできないでしょ
う。
デジタルサービスの設計不備を防ぐためには
各フェーズでおすすめのDXセキュリティソリューション ビジネス企画フェーズにおけるソリューション活用シーン「デジタルサービスの企画・開発」
デジタルサービスは、採用技術だけでなく、サービスの「仕様そのもの」に
脆弱性が存在するケースが多数あります。
それは、デジタルサービスでは、サービス間の連携が多いこと、ビジネス
モデルが複雑化していることなどに起因しています。昨今の事故では、
サービスの「仕様上の不備」を突いた事例が多発しています。(右図)
これらの事故を防ぐためには、サービスの企画段階でセキュリティを
考慮して仕様を固めていく必要があります。しかし、多くの企業では
セキュリティの専門人材の不足等により対応が困難であるのが実情です。
デジタルサービスでは、アプリケーションや基盤などにフォーカスした
「システム観点でのリスク分析」よりも、サービスの企画・要件定義段階に
おける「ビジネスモデル観点でのリスク分析」が十分に行えていない状況が
あります。デジタルサービスの設計不備を防ぐためには、企画・要件定義
段階で、不正な手口を十分に考慮した『デジタルサービスリスク評価』が
必要です。
開発フェーズ(Dev)
ビジネス企画フェーズ
デジタルサービス向けリスク分析支援 セキュリティ設計支援クラウドセキュリティ
コンサルティングクラウドサービスを対象としたセキュリティ評価および
対策の実行支援
デジタルサービスの潜在リスクを複合的に分析し、対策を支援
リスク分析にもとづき、セキュリティ設計を行い、今後の改善策を提示
クラウド選定時のアドバイザリ
リスクの可視化
改善策の策定・実行支援
Web・APIセキュリティ診断
コンテナ診断
ブロックチェーン診断
ソースコード診断
セキュリティ診断 DAST(Dynamic Application Security Testing)
CSPM・CWPP(Cloud Security Posture Management/ Cloud Workload Protection Platform)
開発フェーズ(Ops)
API・マイクロサービス化
認可・ID連携のオープンスタンダード
技術
パスワードレス認証の実装
実際の動作を監視し脆弱性を
検出
稼働中のアプリケーションを
自己防衛
クラウドやDevOpsへの移行方法などを体系的に習得
Docker・k8s対応
設計書
ヒアリング
インシデント事例
セキュリティ規格・標準
他社事例
デジタルアイデンティティ
システムやサービスのセキュリティ維持・向上のための
安全性診断
ユーザーとサービスを繋ぐデジタルIDでDXを加速。システム要件から導入、
運用までトータルに支援
クラウド間やクラウド内の複数アカウントを横断してセキュリティポリシーを一元管理
動作シナリオに沿ってWebアプリケーションの診断・脆弱性検査が可能
強力なシナリオ作成支援
充実の検査機能
わかりやすいレポート
I AST・RASP(Interactive Application Security Testing/Runtime Application Security Testing)
高速アプリケーション開発に対応した脆弱性診断ソリューション
DXやDevSecOpsを進めるにあたり必要不可欠な知識や実践的なスキルを学ぶ教育コース
設定を継続的に評価
適切な状態を維持
セキュリティポリシーを統一
各クラウドの設定をまとめて
確認
サービス仕様ビジネスモデル
ユースケース
QR決済 民泊サービス
外部IDを用いて利用可能
活動状況を友人に共有独自ポイントを配布
配車サービスAIチャット etc.
etc.
サービスの穴を悪用盗難クレカ紐付けクーポン無限増殖
リスク❶
外国人の犯罪集団等による
サービス仕様に対する攻撃
IT技術/デジタル技術
ブロックチェーンIoTAPI
サーバー攻撃IoT機器の脆弱性APIの設定不備
リスク❷
高度技術を有するハッカーによる
デジタル技術に対する攻撃
etc.
インシデント事例
課 題 デジタルサービスを立ち上げるにあたって安全性を確保したい
解決方法 企画・要件定義段階でのデジタルサービスリスク評価
ビジネスモデルを分解し、キーとなる要素や類似ビジネスを明らかに
ユースケースを分解し、実施可能なアクションを明確に
想定される脅威シナリオに対して、対象サービス独自の仕様を割り出し、さらに具体的な脅威シナリオを作成
セキュリティコントロールの実装状況を確認
全ユースケース/アクションから、悪意者による実施可能性のあるアクションを抽出
そのうち、発生可能性が高いアクションを中心に、セキュリティコントロールの実装状況を確認
トップダウン/ボトムアップ分析から抽出された脅威シナリオをもとにサービス担当者と事業影響やセキュリティ対策方針についてディスカッションを実施
サービス担当者と合意したセキュリティ対策方針を取りまとめ、脅威シナリオと合わせて報告書として提出
対象サービスのビジネスモデル及びユースケースの分解
トップダウン分析(脅威事例に基づく分析)
ボトムアップ分析(ユースケースに対する分析)
セキュリティ対策方針に関するディスカッション
事 例 1
セキュリティ人材の教育
03 04
ビジネスモデルのリスク分析
ユースケースのリスク分析
対策の立案・提示
デジタルサービスの設計不備を防ぐためには
各フェーズでおすすめのDXセキュリティソリューション ビジネス企画フェーズにおけるソリューション活用シーン「デジタルサービスの企画・開発」
デジタルサービスは、採用技術だけでなく、サービスの「仕様そのもの」に
脆弱性が存在するケースが多数あります。それは、デジタルサービスで
は、サービス間の連携が多いこと、ビジネスモデルが複雑化しているこ
となどに起因しています。昨今の事故では、サービスの「仕様上の不備」
を突いた事例が多発しています。(右図)
これらの事故を防ぐためには、サービスの企画段階でセキュリティを
考慮して仕様を固めていく必要があります。しかし、多くの企業では
セキュリティの専門人材の不足等により対応が困難であるのが実情です。
デジタルサービスでは、アプリケーションや基盤などにフォーカスした
「システム観点でのリスク分析」よりも、サービスの企画・要件定義段階に
おける「ビジネスモデル観点でのリスク分析」が十分に行えていない状況が
あります。デジタルサービスの設計不備を防ぐためには、企画・要件定
義段階で、不正な手口を十分に考慮した「デジタルサービスリスク評
価」が必要です。
開発フェーズ(Dev)
ビジネス企画フェーズ
デジタルサービス向けリスク分析支援 セキュリティ設計支援クラウドセキュリティ
コンサルティングクラウドサービスを対象としたセキュリティ評価および
対策の実行支援
デジタルサービスの潜在リスクを複合的に分析し、対策を支援
リスク分析にもとづき、セキュリティ設計を行い、今後の改善策を提示
クラウド選定時のアドバイザリ
リスクの可視化
改善策の策定・実行支援
Web・APIセキュリティ診断 強力なシナリオ作成支援
充実の検査機能
わかりやすいレポート
コンテナ診断
ブロックチェーン診断
ソースコード診断
セキュリティ診断 DAST(Dynamic Application Security Testing)
デジタルアイデンティティ
CSPM・CWPP(Cloud Security Posture Management/ Cloud Workload Protection Platform)
I AST・RASP(Interactive Application Security Testing/ Runtime
Application Security Testing)
開発フェーズ(Ops)
企画・要件定義
設 計
コーディング
テスト
リリース
保守・運用
設計書
ヒアリング
インシデント事例
セキュリティ規格・標準
他社事例
API・マイクロサービス化
認可・ID連携のオープンスタンダード
技術
パスワードレス認証の実装
実際の動作を監視し脆弱性を
検出
稼働中のアプリケーションを
自己防衛
クラウドやDevOpsへの移行方法などを体系的に習得
Docker・k8s対応
これらを踏まえて総合的に提案
システムやサービスのセキュリティ維持・向上のための
安全性診断
動作シナリオに沿ってWebアプリケーションの診断・脆弱性検査が可能
ユーザーとサービスを繋ぐデジタルIDでDXを加速。システム要件から導入、
運用までトータルに支援
クラウド間やクラウド内の複数アカウントを横断してセキュリティポリシーを一元管理
高速アプリケーション開発に対応した脆弱性診断ソリューション
DXやDevSecOpsを進めるにあたり必要不可欠な知識や実践的なスキルを学ぶ教育コース
設定を継続的に評価
適切な状態を維持
セキュリティポリシーを統一
各クラウドの設定をまとめて
確認
サービス仕様ビジネスモデル
ユースケース
QR決済 民泊サービス
外部IDを用いて利用可能
活動状況を友人に共有独自ポイントを配布
配車サービスAIチャット etc.
etc.
サービスの穴を悪用盗難クレカ紐付けクーポン無限増殖
リスク❶
外国人の犯罪集団等による
サービス仕様に対する攻撃
IT技術/デジタル技術
ブロックチェーンIoTAPI
サイバー攻撃IoT機器の脆弱性APIの設定不備
リスク❷
高度技術を有するハッカーによる
デジタル技術に対する攻撃
etc.
インシデント事例
課 題 デジタルサービスを立ち上げるにあたって安全性を確保したい
解決方法 企画・要件定義段階でのデジタルサービスリスク評価
ビジネスモデルを分解し、キーとなる要素や類似ビジネスを明らかに
ユースケースを分解し、実施可能なアクションを明確に
全ユースケース・アクションから、悪意者による実施可能性のある想定ケースを抽出
そのうち、発生可能性が高い想定ケースを中心に、セキュリティコントロールの実装状況を確認
サービス担当者と事業影響やセキュリティ対策方針についてディスカッションを実施
サービス担当者と合意したセキュリティ対策方針を取りまとめ、脅威シナリオと合わせて報告書として提出
対象サービスのビジネスモデル及びユースケースの分解
トップダウン分析(脅威事例に基づく分析)
想定される脅威シナリオに対して、対象サービス独自の仕様を割り出し、より具体的な脅威シナリオを作成
セキュリティコントロールの実装状況を確認
ボトムアップ分析(ユースケースに対する分析)
セキュリティ対策方針に関するディスカッション
トップダウン・ボトムアップ分析から抽出された脅威シナリオをもとに
事 例 1
セキュリティ人材の教育
03 04
DevOpsフェーズにおけるソリューション活用シーン「アジャイル開発におけるセキュリティ」
事 例 2
開発プロセスの「中」にセキュリティを組み込む「DevSecOps」が必要
DevOpsの概念では従来のセキュリティ対策だけでは不十分
DevOpsフェーズにおけるソリューション活用シーン「アプリ開発のセキュリティ設計」
企画・設計時にセキュリティを考慮、効率的にセキュリティ設計に反映するプロセスを実現する(Security by Design)
例えば、一般ユーザーから個人情報を収集し、第三者サービスと連携して
付加価値を提供するWEBアプリを開発する場合、サービスの性質上、一般
ユーザーに対しては柔軟で使いやすいUX/UIを提供する必要があり、また
サービスの価値を維持するため、機能追加・改善を継続的かつ頻繁に実施
DevOpsでは、従来のように「事前・事後」のセキュリティ対策だけではなく、開発
プロセスの「中」にセキュリティを組み込む「DevSecOps」が必要とされています。
することが求められます。従来型の社内基準では、個人情報を扱うシス
テムにおいてリリースごとの手動でのセキュリティテスト(Webアプリ
ケーション診断)が必須となっていて、頻繁なリリースの足かせになると
いう課題があります。
企画・設計段階でセキュリティリスク分析を行い、リスクを可視化し、基準
を定めたうえで受容するリスクと対策を行うリスクを選別します。対策
すべきリスクには、どのように対策するか設計の中で検討し、設計に反映さ
せるというプロセスを構築します。これによってアジャイル開発・
DevOpsプロセスの中で、リスク分析とセキュリティ設計を参照し、アッ
プデートし続けることが可能になります。
課 題 現在の社内基準のままでは、頻繁に機能追加・改善を行えない
解決方法 リスク分析とセキュリティ設計を連動した開発プロセスの構築
新しい技術要素 (プラットフォーム・言語・フレームワーク)を積極的に活用している
規定やガイドラインが技術の変化スピードに追いつかない
早い開発サイクルの中でチェックを手動で行うことはほぼ不可能
リリースの都度、診断を行うことは非現実的
事前のルール(規程・ガイドライン)
事後の検査 (セキュリティ診断)
開発サイクルが早く、リリースの頻度が多くなる
APIを活用することで個人情報を保持する範囲を分離し、
リスクを局所化
UXアプリ部分は診断ツールによるチェックで代替するよう、
社内規定を修正
アプリ開発のセキュリティ対策プロセスを変更したことで、リリースサイクルの高速化を
実現
事 例 3
セキュリティテストの自動化で早期にリスクを検出・対策する( Security Automation)
アジャイル開発など、短い開発サイクル(例:2週間単位)で、CI/CD※1
パイプラインを構築し、それをぐるぐる回すことで、開発を進めていく
ようなケースが増えています。
このようなケースでは、従来の開発では工程の終盤に行っていたセキュリ
ティテストを開発サイクルの中に組み込むことで、セキュリティのチェック
を効率化したい、という課題があります。
ウォーターフォール開発などの、従来の開発では工程の終盤に行っていた
セキュリティテストを、より前の段階で実施することで、最終段階での手戻り
を防ぐことができます。例えば、SAST※2, DAST※3, IAST※4などのテスト
ツール・解析ツールによる検査をCI/CDパイプラインに組み込むことに
より、自動的にセキュリティリスクの検出を行うことが可能です。
※1:Continuous Integration / Continuous Delivery(継続的インティグレーション/継続的デリバリー)
※2:Static Application Security Testing(静的解析によるアプリケーションのセキュリティテスト)
※3:Dynamic Application Security Testing(動的解析によるアプリケーションのセキュリティテスト)
※4:Interactive Application Security Testing(アプリケーション実行環境内の監視とソースコード解析を組み合わせたアプリケーションのセキュリティテスト)
セキュリティ設計の中で、ツールによるチェックで対処する範囲を明確に
し、そのチェックをプロセスに組み込むことで、開発業務を効率化すること
ができるようになります。また、ツールの出力結果をチームにフィード
バックすることで、開発ガイドラインを常に改善することができます。
課 題 アジャイル開発でのセキュリティチェックを効率化したい
解決方法 ツールを活用し、早い工程でのセキュリティチェックを行う
コミット ビルド テスト用デプロイ
自動受入れテスト
レポートCI/CDパイプライン
コーディング 検出した内容をフィードバックする必要がある
ツールを用いた コードレビューを実施
一般的なアプリケーション脆弱性については、ツールによる診断を実施
機能改善時に仕様変更を行っていない箇所かつ、 ツールにより検出可能な脆弱性についてはアプリケーション診断を行わないとした
ツールの診断結果を開発メンバのスキルチェックやレベルの
平準化に活用
ツールの診断結果を開発ガイドラインに反映
コードレビューや脆弱性診断のスピードアップや手動テストの削減により、メンバーの作業量が削減された
ウェブアプリケーション診断の範囲を限定することで、
診断の期間および費用を削減
新しく参画した開発者の迅速なスキル平準化に役立った
05 06
DevOpsフェーズにおけるソリューション活用シーン「アジャイル開発におけるセキュリティ」
事 例 2
開発プロセスの「中」にセキュリティを組み込む「DevSecOps」が必要
DevOpsの概念では従来のセキュリティ対策だけでは不十分
DevOpsフェーズにおけるソリューション活用シーン「 アプリ開発のセキュリティ設計」
企画・設計時にセキュリティを考慮、効率的にセキュリティ設計に反映するプロセスを実現する(Security by Design)
例えば、一般ユーザーから個人情報を収集し、第三者サービスと連携して
付加価値を提供するWEBアプリを開発する場合、サービスの性質上、一般
ユーザーに対しては柔軟で使いやすいUX/UIを提供する必要があり、また
サービスの価値を維持するため、機能追加・改善を継続的かつ頻繁に実施
DevOpsでは、従来のように「事前・事後」のセキュリティ対策だけではなく、
開発プロセスの「中」にセキュリティを組み込む「DevSecOps」が必要とされています。
することが求められます。一般的に、従来型の社内基準では、個人情報を
扱うシステムにおいてリリースごとの手動でのセキュリティテスト(Web
アプリケーション診断)が必須となっていて、頻繁なリリースの足かせに
なるという課題があります。
企画・設計段階でセキュリティリスク分析を行い、リスクを可視化し、基準
を定めて受容するリスクと対策を行うリスクを選別します。対策すべき
リスクには、どのように対策するか設計の中で検討し、設計に反映させると
いうプロセスを構築します。これによってアジャイル開発・DevOpsプロ
セスの中で、リスク分析とセキュリティ設計を参照し、アップデートし続け
ることが可能になります。
課 題 現在の社内基準のままでは、頻繁に機能追加・改善を行えない
解決方法 リスク分析とセキュリティ設計を連動した開発プロセスの構築
新しい技術要素 (プラットフォーム・言語・フレームワーク)を積極的に活用いる
規定やガイドラインが技術の変化のスピードに追いつかない
早い開発サイクルの中でチェックを手動で行うことはほぼ不可能
リリースの都度診断を行うことは非現実的
事前のルール(規程・ガイドライン) 事後の検査 (セキュリティ診断)
開発サイクルが早く、リリースの頻度が多くなる
APIを活用することで個人情報を保持する範囲を分離し、
リスクを局所化
UXアプリ部分は診断ツールによるチェックで代替するよう、
社内規定を修正
アプリ開発のセキュリティ対策プロセスを変更したことで、リリースサイクルの
高速化を実現
事 例 3
アジャイル開発など、短い開発サイクル で、CI/CD※1パイプラインを
構築し、それを回すことで、開発を進めていくようなケースが増えてい
ます。
このようなケースでは、従来の開発では工程の終盤に行っていたセキュリ
ティテストを開発サイクルの中に組み込むことで、セキュリティのチェック
を効率化したい、という課題があります。
ウォーターフォール開発などの、従来型の開発では工程の終盤に行ってい
たセキュリティテストを、より前の段階で実施することで、最終段階での手
戻りを防ぐことができます。例えば、SAST※2 、DAST※3 、IAST※4などの
テストツール・解析ツールによる検査をCI/CDパイプラインに組み込む
ことにより、自動的にセキュリティリスクの検出を行うことが可能です。
※1:Continuous Integration / Continuous Delivery(継続的インティグレーション/継続的デリバリー)
※2:Static Application Security Testing(静的解析によるアプリケーションのセキュリティテスト)
※3:Dynamic Application Security Testing(動的解析によるアプリケーションのセキュリティテスト)
※4:Interactive Application Security Testing(アプリケーション実行環境内の監視とソースコード解析を組み合わせたアプリケーションのセキュリティテスト)
セキュリティ設計の中で、ツールによるチェックで対処する範囲を明確に
し、そのチェックをプロセスに組み込むことで、開発業務を効率化できる
ようになります。また、ツールの出力結果をチームにフィードバックす
ることで、開発ガイドラインを常に改善することが可能です。
課 題 アジャイル開発でのセキュリティチェックを効率化したい
解決方法 ツールを活用し、早い工程でのセキュリティチェックを行う
セキュリティテストの自動化で早期にリスクを検出・対策する(Security Automation)
コミット ビルド テスト用デプロイ
自動受入れテスト
レポートCI/CDパイプライン
コーディング 検出した内容をフィードバックする必要がある
ツールを用いたコードレビューを実施
一般的なアプリケーション脆弱性については、ツールによる診断を実施
機能改善時に仕様変更を行っていない箇所かつ、 ツールにより検出可能な脆弱性についてはアプリケーション診断を行わないとした
ツールの診断結果を開発メンバのスキルチェックやレベルの
平準化に活用
ツールの診断結果を開発ガイドラインに反映
コードレビューや脆弱性診断のスピードアップや
手動テストの削減により、メンバーの作業量が減少
Webアプリケーション診断の範囲を限定すること
で、診断の期間と費用を削減
新しく参画した開発者の迅速なスキル平準化に
役立った
05 06
〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル[email protected]. jp www.nr i-secure.co. jp
セキュリティデジタルトランスフォーメーションを
支えるセキュリティ
9213-0072-01-2004
