- コンサルティング事業 HOME
-
ソリューション
-
コラム・
事例・資料
- お問い合わせ
実施テーマ
システムのセキュリティ総検証による品質向上
デバイスからデバイス、アプリケーションおよびクラウドプラットフォーム全体のセキュリティ総検証を実施し、セキュリティ品質向上に貢献
取り組み背景
本事例は、産業向け車載業界にデータ集約・分析プラットフォームを提供している企業が、大手顧客及びグローバル市場への提供開始に先立ち、システム全体のセキュリティ品質向上を検証した取り組み。
エッジ端末からクラウドアプリケーションまでをトータルで提供する本プラットフォームにおいては、端末・アプリケーションそれぞれだけでなく、プラットフォーム全体の脆弱性総点検を行い、セキュリティの一貫性・堅牢性を確保することが重大な課題となっていた。
取り組み内容
対象システム全体の脅威分析実施
・ 対象システム全体(Webアプリ、Mobileアプリ、IoTデバイス、プラットフォーム)に対し、机上での脅威分析を実施。現状構成及びセキュリティ対策状況から、どのような攻撃リスク(=脅威)が考えられるかを網羅的に洗い出した。また、それらの脅威が実際に起こり得るかの検証にあたり必要となる脆弱性診断手法・セキュリティテスト手法についても、各脅威と紐づける形で抽出したことで、検証計画の策定にも寄与した。
-脅威一覧
既知の脆弱性診断の実施
・ 対象システム全体(Webアプリ、Mobileアプリ、IoTデバイス、プラットフォーム)に対する徹底的な脆弱性診断を実施。診断結果に基づいて、既知の脆弱性を網羅的に特定し、効果的な対策を講じることで、システムのセキュリティ品質を向上させた。具体的には、定期的なアップデートとパッチ適用を行い、最新の攻撃ベクトルに対応できる体制を整えた。
ペネトレーションテストによる既存対策の有効性確認
・ 脅威分析結果を基にしたペネトレーションテスト(侵入試験)を実施し、既存のセキュリティ対策の有効性確認を行った。ペネトレーションテストでは、実際の攻撃者と同じ手法を用いてシステムの脆弱性を探索し、既存対策がどの程度機能しているかを評価。さらに、不足している対策を新たに立案し、実装することにより、セキュリティのさらなる強化を図った。
-ペネトレーションテスト 計画イメージ
セキュア開発プロセスの整備
・当社製品全てのセキュリティ品質維持・向上に向け、 脅威分析からペネトレーションテストまでの一連のプロセスを、社内の開発プロジェクトに適用できるよう標準化。また、開発者への教育とトレーニングを行い、セキュリティ意識の向上を図った。
主な成果
セキュリティ品質の向上
・ 脆弱性診断とペネトレーションテストの実施により、対象システム全体のセキュリティ品質が大幅に向上し、脆弱性の早期発見・対策を実現。多岐にわたる診断と対策を通じて、技術的な信頼性が大幅に確保されたことで、結果としてシステム全体の耐攻撃性と安定性が向上。
グローバル展開に向けた安心感
・ セキュリティ対策の実施により、大手顧客及びグローバル市場に向けたサービス提供に向け、顧客からの信頼獲得と満足度向上を実現。高水準のセキュリティ基準を満たすことで、取引先との関係が強化され、新たなビジネスチャンスの創出に寄与。グローバル市場での競争力も向上し、長期的な市場シェア拡大に向けた体制を構築できた。
効率的な開発プロセスの確立
・ 脅威分析からペネトレーションテストまでのプロセスの標準化により、同様のセキュリティアプローチがシームレスに採用されるようになり、全体的な作業効率が向上しました。また、実装したセキュリティ対策について開発プロセスにおけるリファレンスとすることで、新規プロジェクトでも即座に高いセキュリティ基準を適用できるようになった。今後、開発期間の短縮とコスト削減につながることも期待される。
-V字プロセスに対する各種セキュリティ活動の組み入れ(例)
まずはお気軽にご相談ください
