NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、株式会社野村総合研究所(以下、NRI)と共同で、DX推進におけるトータルなセキュリティ対策を可能とし、安全・安心なクラウド利活用を実現するプラットフォームサービス「NRIデジタルトラスト(仮称)」の提供を開始します。第一弾として、2025年度上期にOracle Alloy向けのサービスを開始します。
近年、企業を取り巻くサイバーセキュリティリスクは高度化・複雑化しており、関連の法規制要件も厳格化しています。特に、サプライチェーン全体でのサイバーセキュリティとオペレーショナル・レジリエンス(業務の強靭性・復旧力)の確保が、重要な経営課題となっています。
本サービスは、企業におけるシステムライフサイクル全体でのサイバーセキュリティとオペレーショナル・レジリエンスの確保を目的とし、関連する各種ガイドラインや法規制に準拠するセキュリティ機能をあらかじめ組み込んだプラットフォームサービスです。第一弾として、2025年度上期にOracle Alloy[i]を介して、3コンポーネントの提供を開始し、順次機能を追加していく予定です。
提供を開始する3つのコンポーネントは以下の通りです(図を参照)。
1.セキュア開発プラットフォーム
ソフトウェア・AI開発工程において「セキュリティ・バイ・デザイン[ii]」を標準的に組み込み、SAST[iii]、DAST[iv]、IAST[v]などの手法を取り入れ、SCA[vi]、SBOM[vii]の管理による透明性確保を実現できるプラットフォームです。ソフトウェア開発チームのアクセス権限管理とふるまい検知、CI/CDパイプライン[viii]も実装しており、開発生産性を維持しつつ、セキュアなコード品質を確保します。
2.セキュリティビルトインクラウド
NRIのマルチクラウド環境「NRIマルチクラウド」にセキュリティ機能を組み込み、IT基盤構築とセキュリティ運用がビルトインされたクラウド環境を提供します。具体的には、構成把握・分析や脆弱性ダッシュボード、アセスメントのASM[ix]、CTEM[x]、クラウドセキュリティツールのxSPM[xi]やCWPP[xii]にも連携しています。運用における脆弱性管理やパッチ適用をシームレスに実行し、法規制遵守を支えます。
3.サイバーフュージョンセンター
24時間365日でイベントやログをAI分析し、XDR(Extended Detection and Response)[xiii]による継続的な検知と対応を強化します。セキュリティインシデント発生時には、アクセス権限の動的制御や迅速な封じ込め、バックアップデータのリストア(復元)などを行うことができます。これにより、オペレーショナル・レジリエンスを高め、インシデントによる影響の最小化を図ることができます。
図:NRIデジタルトラスト(仮称)で提供する、3つのコンポーネントの実装イメージ
[画像: https://prcdn.freetls.fastly.net/release_image/52432/167/52432-167-a676834170a6d221ae8b0cf67761686d-3179x1924.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
3つのコンポーネントを支える「NRIセキュアインテリジェンスセンター」は、セキュリティリスクマネジメントに関わるインテリジェンスを収集・統合・分析し、企業の意思決定の支援や政策提言を行っています[xiv]。本サービスにおいては、開発から運用に至るまでの各段階において、サイバー攻撃の解析、脆弱性情報の収集、対応すべき法規制要件などのインテリジェンスをタイムリーに提供していきます。
NRIセキュアは今後も、NRIデジタルトラスト(仮称)をはじめとするセキュリティ向上に向けたサービスやソリューションの提供を通して、安全・安心な情報システム環境と社会の実現に貢献していきます。
[i] Oracle Alloyは、OCI Dedicated Regionと同様のOCIの専用クラウド・ソリューションであり、パートナー企業は、自社でカスタマイズした独自サービスとともに、人工知能(AI)機能やクラウドネイティブ開発ツールを含むOCIのサービスを顧客企業へ提供することが可能です。
[ii] セキュリティ・バイ・デザイン:システム開発の後段でセキュリティ対策を講じるのではなく、システムの企画や設計の初期段階から考慮し、対策を盛り込む考え方を指します。
[iii] SAST:Static Application Security Testingの略で、アプリケーションのソースコードを静的に解析し、脆弱性を特定するための検査手法です。アプリケーションが動作していなくても実施可能で、開発の初期段階で脆弱性を検出するために実施されます。
[iv] DAST:Dynamic Application Security Testingの略で、稼働しているアプリケーションに対して、攻撃者の視点を踏まえて疑似的な攻撃(検査)リクエストを送信し、アプリケーションの挙動の変化から脆弱性があるかどうかを判定する検査手法です。
[v] IAST:Interactive Application Security Testingの略で、アプリケーションと一体的に稼働させ、実行環境を監視しながら脆弱性の検出を行う検査手法です。
[vi] SCA:Software Composition Analysisの略で、ソフトウェア構成分析とも呼ばれ、ソフトウェアの開発工程および運用工程において、利用しているライブラリとバージョンを把握し、それらに含まれる既知の脆弱性を検出し、管理するための技術です。
[vii] SBOM:Software Bill of Materialsの略で、ソフトウェア部品表とも呼ばれます。製品に含むソフトウェアを構成するコンポーネントや互いの依存関係、ライセンスデータなどをリスト化した一覧表です。OSS(Open Source Software)のライセンス管理や脆弱性の管理、ソフトウェアサプライチェーンのリスク管理等の用途で利用されます。
[viii] CI/CDパイプライン:CIは継続的インテグレーション、CDは継続的デリバリーを表したもので、CI/CDパイプラインは、コードの統合、ビルド、テスト、デプロイの一連のプロセスを自動化する手法です。
[ix] ASM:Attack Surface Managementの略で、サイバー攻撃の対象となりうるIT資産を発見し、継続的にリスクの探索・評価を実施する活動およびサービスです。
[x] CTEM:Continuous Threat Exposure Managementの略で、継続的な脅威エクスポージャー管理という意味を持つアプローチを指します。CTEMでは精度の高い脅威分析と迅速な対応が求められます。
[xi] xSPM:Extensible Security Posture Managementの略で、組織のセキュリティ体制を包括的に管理するためのアプローチです。xSPMのツールを利用することで、セキュリティの監視、評価、改善が統合的に行われます。
[xii] CWPP:Cloud Workload Protection Platformの略で、セキュリティ確保のためのさまざまな機能を、クラウドサービス上のサーバや仮想マシン、ひいてはそこで動作しているソフトウェアといったワークロードに対して提供するセキュリティソリューションを指します。
[xiii] XDR(Extended Detection and Response):サーバ、クラウド、メール、エンドポイント、ネットワークなど複数のセキュリティレイヤーからデータを収集し、相関分析することにより、セキュリティ脅威の検知、調査、対応を一元的に行うソリューションです。XDRの「X」は拡張や変数を意味します。
[xiv] NRIセキュアインテリジェンスセンターの詳細は、次のWebサイトをご参照ください。https://www.nri-secure.co.jp/news/2024/0109
ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社 広報担当
E-mail:info@nri-secure.co.jp
