NRIセキュア、セキュリティコンサルタントが開発現場にオンライン常駐する「SEC Team Services」

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は13日、Webサービスやスマートフォンアプリ等の開発を行う組織に対して、セキュリティコンサルタントがオンラインで常駐し、設計・開発・運用におけるセキュリティ課題の解決を支援する、「SEC Team Services」を提供開始すると発表した。なお、オンライン常駐の方法としては、チャットツールやWeb会議等の利用を想定している。

　従来のシステム開発では、発注元である企業が提示する要件にそって開発ベンダーが請負開発をする方式が主流だったが、昨今ではアジャイル開発の手法を用いて開発プロセスを内製化するケースが増えているという。こうした場合は、チーム横断で「セキュリティチーム」を組織してセキュリティレベルを担保する取り組みも進んでいるというが、同チームの活動は多岐にわたり、さらにそれぞれの領域で専門的な知識が必要なため、人員の確保やスキルに課題がある場合もあるとのこと。

　SEC Team Servicesは、多くのセキュリティチームに対してコンサルティングサービスを提供してきたNRIセキュアの専門家が“オンライン常駐”し、当該チームの課題や悩みの解消を支援するサービスで、こうした課題の解決を支援するとした。

　例えば、開発者へのセキュリティ教育、設計から開発工程にかけてのアドバイザリ（助言）の提供などによって、開発工程（Dev）におけるセキュリティ課題の解決を支援可能。さらに、セキュリティ設計評価や各種セキュリティ診断等を組み合わせ、より具体的な支援を行うこともできる。

　また、利用しているオープンソースソフトウェア（OSS）等に脆弱性が発見された場合に、開発したシステムへの脆弱性の影響や深刻度の評価を、オンライン常駐しているセキュリティコンサルタントに相談する、といったことも行えるとしている。

　このほか、DevSecOpsの考え方を取り入れ、既存の開発プロセスを生かして開発者の負担を下げながら、効果的なセキュリティ対策につなげるといった活用法も考えられるとした。

DevOpsのプロセスとSEC Team Servicesで提供可能な支援内容