NRIセキュアテクノロジーズは8月8日、デジタルサービスの開始を検討している企業向けに、情報セキュリティに関わる潜在的なリスクを洗い出し、その対策の立案を支援する「デジタルサービス向けリスク分析支援」を提供開始した。
新サービスは、企業がデジタルサービスを企画・要件定義する段階から関わり、ビジネスモデルとユースケース(ユーザーの利用事例)の観点から、デジタルサービスの脅威となりうるリスクを網羅的に洗い出し、適切なセキュリティ対策を提示するものとなり、「サービス仕様・ビジネスモデルの把握と脅威の洗い出し」「ユースケースに基づく脅威の洗い出し」「脅威シナリオに対する対応策の立案・提示」の3つの機能で構成されている。
サービス仕様・ビジネスモデルの把握と脅威の洗い出しでは、対象となるデジタルサービスのビジネスモデルや仕様、外部との提携先も含めた全体像を把握した上で、悪意者がどのような目的や手法でサービスを悪用しようとするのかを洗い出し、それらの行為の難易度や類似の事例を踏まえて、さまざまな悪用の形態を「脅威シナリオ」としてまとめ、各シナリオが当該デジタルサービスに対してどれほどのインパクトを持つかを評価する。
ユースケースに基づく脅威の洗い出しでは、分析対象となるデジタルサービスが持つ特有のユースケースに重点を置き、悪用された場合のあらゆるリスクを洗い出し、その中から実際に起きる可能性の高いリスクのメカニズムを分析することで、当該リスクと現在の対策とのギャップを評価する。
脅威シナリオに対する対応策の立案・提示では、作成した脅威シナリオをもとにデジタルサービスの仕様にセキュリティ対策として組み込むべき事項を、対応方針として提示するほか、各対応方針について脅威の「予防」「検知」「抑止」「低減」等の採るべき具体策を提示する。
これにより、自社だけでは見落としてしまう可能性のある脆弱性に気づいたり、適切なサービス設計やシステムの実装を図ったりすることが可能なことに加え、企業がデジタルサービスをサービスインするか否かを意思決定する際の判断材料としても活用できるという。