NRIセキュア、専門家が脅威モデリングを実施しシステムの潜在的な脅威を特定するサービス

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は16日、セキュリティの専門家がオンラインで企業に常駐し支援する「SEC Team Services」において、同社の専門家が企業のシステムアーキテクチャを分析し、想定される脅威の一覧化と脅威モデルの作成を行うことで、システムの潜在的な脅威を特定する「脅威モデリングサービス」を、同日より提供開始すると発表した。

　「脅威モデリングサービス」は、NRIセキュアのセキュリティコンサルタントが、システム開発・運用で発生する可能性のある脅威を設計段階で洗い出し分析することで、セキュリティ対策の妥当性を評価し適切な対策を提案するサービス。企業のシステム設計書やセキュリティ管理規定等を基に、想定される脅威を一覧化して脅威モデルを作成し、システムの潜在的な脅威を特定するとともに、特定した脅威に対して、発生可能性と組織に及ぼす影響からリスクを分析し、危険度および対策優先度を評価して対策を提案するという。

　脅威につながるシステムの接続点や脅威が潜んでいる可能性があるシステムコンポーネントを把握できるため、潜在的な脅威を可視化できる点が特徴で、システム開発ライフサイクルの早い段階でシステム全体の脅威を特定できるため、必要最低限の工数で、過不足のない、最適なセキュリティ対策を実現できるとした。

　また、対象システムをベースとした脅威モデルが得られるので、エンハンス時のリスク評価や継続的な脅威分析にも活用可能。アジャイル開発に取り入れることで効果的にセキュリティ活動を行える。

　さらに、開発・運用担当者がイメージしやすい形で脅威モデルリングサービスの成果物を提供することにより、セキュリティ担当者と開発・運用担当者との認識の差が低減し、DevSecOpsの社内醸成にも寄与するとのこと。

　なお、Webアプリケーション診断では詳細な評価が難しい、システム設計に起因するセキュリティリスクを可視化できる点もメリット。攻撃シナリオに基づいて脅威を机上で評価する仕組みのため、ペネトレーションテストに先立って設計段階からセキュリティ対策を検討することも可能なことから、Webアプリケーション診断やペネトレーションテストの補強としても活用できるとしている。