これにより、システムの設計段階において、必要なセキュリティ要件に漏れがないかを評価できるようになり、デジタルトランスフォーメーション(DX)時代にふさわしい「システム開発のスピード」と「セキュリティ確保」の両立を実現しました。
(注)情報セキュリティを企画・設計段階から確保するための方策のこと。
1.新スキーム開発の背景
MS&ADグループは、2022年4月から4年間の中期経営計画において、「リスクソリューションのプラットフォーマーとして、社会と共に成長する」ことを目指しており、その実現のために「デジタルやデータの力を活用したリスクコンサルティングの高度化」に取り組んでいます。この目指す姿の実現に向け、グループ傘下の保険事業会社が開発する情報システムは、各事業に則する形で開発スピードが重視されてきました。
その中で大きな課題となっていたのが、短い開発ライフサイクルを維持しつつ、高度なセキュリティを確保することでした。従来の開発工程では、システムをリリースする直前にセキュリティ診断を行うことが一般的です。しかしながら、開発工程の終盤において不備が発覚すると、その対応のためにリリース期日が遅延したり、追加コストが発生したりする可能性があるため、ビジネス上の大きなリスクとなります。そうした背景から、セキュリティを確保しながら予定通りにリリースするための手法が求められていました。そこでMS&ADシステムズとNRIセキュアは、システム開発の上流工程で必要なセキュリティ対策を盛り込む「セキュリティ・バイ・デザイン」の考え方を活用し、この課題を解決することとしました。
2.新スキームの概要
具体的には、システム開発をパートナー会社へ委託する際、RFP(提案依頼書)と一緒にパートナー会社に提示する「セキュリティ対策充足確認資料の記載要領」を新たに作成しました。企画するシステムが他のどんなシステムとつながり、どういったデータを扱うのかなどをまとめた資料です。これをもとに、パートナー会社は提案書と「セキュリティ設計書資料」をセットで提示します(図を参照)。
その結果、保険事業会社に負荷をかけることなく、設計の段階でシステムに必要なセキュリティ要件に漏れがないかを評価できるようになりました。また、守るべきデータのありかが可視化され、セキュリティを確保する意識が向上し、リリース遅延やコスト増のリスクを低減させることに成功しました。
※詳細は右記ホームページ(https://www.nri-secure.co.jp/service/case/ms-ad-systems)をご参照ください。
【 図:保険事業会社が開発する情報システムの開発工程と、セキュリティ対策の流れ 】