NRIセキュアが提案する、多様なソリューションとコンサルティング
NRIセキュアは顧客の組織や課題に適した様々なソリューションを取り扱っている。関戸氏はシフトレフトを支えるNRIセキュアのソリューションをいくつか紹介した。ソースコード管理では、中央リポジトリを用いた効率的な管理と、変更管理やCI/CDパイプライン機能を持つソリューションの選定が一般的だ。NRIセキュアはNRIと提携し、GitLabを提案している。
また、ソフトウェアを構成するライブラリの脆弱性を管理するSCA(Software Composition Analysis:ソフトウェア構成解析)も提供している。現在のソフトウェア開発では多くのライブラリを使用するため、システム内のソフトウェアや既知の脆弱性の把握が重要だ。この分野ではSnykを提案している。
さらに、ソースコード内の脆弱性を特定するSAST(Static Application Security Testing:静的アプリケーションセキュリティテスト)ではSynopsysのPolarisを、起動したアプリケーションの外部挙動から脆弱性を特定するDAST(Dynamic Application Security Testing:動的アプリケーションセキュリティテスト)ではNRIセキュアの100%子会社であるユービーセキュアのVexを紹介している。起動したアプリケーションの内部挙動をエージェントによって把握するIAST(Interactive Application Security Testing:対話型アプリケーションセキュリティテスト)もある。これはアプリケーション側にエージェントを組み込み、正常フローでも脆弱性を正確に特定する手法で、NRIセキュアはContrast Assessを提案している。
専門人材が支援するセキュリティコンサルティングサービスも複数提供している。「SEC Team Services」は、セキュリティコンサルタントが開発チームに寄り添い、Q&Aを通じて、開発の企画段階からリリース運用までセキュリティを幅広くサポートする。「セキュリティ設計評価サービス」は、システムの設計書から脆弱性がないかをアドバイスし、設計段階での修正により手戻りコストを削減し、セキュリティ・バイ・デザインを実現して生産性を向上させる。
「セキュリティ診断サービス」は、Webアプリケーションやソースコード、スマートフォンアプリケーションの診断を行う。セキュリティ研修「セキュアEggs(DevSecOps)」は、開発者やアジャイルチームの代表者向けの研修だ。この研修について関戸氏は「アジャイルの文化やツール選定、実際の組み込みについて、講義と演習を通じて2日間で学びます。すぐに現場で活用できる内容となっています」と説明した。
そして関戸氏は、同社のコンサルティング事例として、クレジットカード事業を展開する株式会社ジェーシービー(以下、JCB)の開発組織への支援について説明した。JCBでは、アプリケーションごとに10人程度の開発チームを展開しており、各チームを支援する共通機能の一つとして「セキュリティ」のチームを置いている。関戸氏は「弊社は設計時の質問、レギュレーション対応、セキュリティの勉強会、セキュリティ診断、コードレビューなどを提供しています。これにより、セキュリティの品質を均一化しながら開発に専念できるようにし、生産性の高いプロダクト開発を実現しています」と語った。
シフトレフトを実践するための3つのポイント
続いて関戸氏は、シフトレフト実践のポイントを3つ挙げた。
まずは、解決したい課題や目標とする期待値を明確にすることだ。漠然と取り組むのではなく、具体的にどのセキュリティリスクを特定し解決したいのかをはっきりさせる。コーディングを行う際に脆弱性を作り込んでしまうリスクなのか、サービス仕様に潜むリスクなのか、セキュリティを強化したい対象によって、解決策が変わるからだ。この点ではチームの成熟度も重要だ。例えば、開発のプロフェッショナルが多いチームであればツールが英語であることやマニュアルに専門用語が多くても対応できるが、新しく組織したチームならツールは日本語で平易なマニュアルが必要となる。
2つ目は、解決策を広く調査し、評価・比較すること。セキュリティコンサルタントに依頼する方法や、実際にソリューションを試す方法がある。
3つ目は、スモールスタート。ツールやソリューションを実際のプロジェクトで使ってみて評価する。セキュリティソリューションの多くはPoC(概念実証)の機会を提供しているため、これを利用して評価する。
NRIセキュアでは、常に先進ITやセキュリティの動向を調査し、事業に取り入れている。ブログやメールマガジンなどでも最新情報や事例を発信している。関戸氏は「弊社はお客様の開発支援に力を入れており、状況に応じた幅広い支援と、最新動向を踏まえた助言を提供しています。特に『SEC Team Services』はプロダクトの生産性向上に貢献するサービスですので、ぜひご相談いただきたいです」と呼びかけた。
