脆弱性診断を内製化する方法|DevSecOps実現の最初の一歩
NRI セキュアブログ 新着記事のご紹介
野村総合研究所のキャリア採用サイト「NRI career」をご覧いただきありがとうございます。
NRI セキュアブログから新着記事のご紹介です。
安全なDXサービスの開発に向けて
昨今、企業が競合他社に先駆けて顧客を獲得するために、モバイル決済サービスなどの新規サービスのリリースを急ぐ、あるいは、顧客ニーズや消費市場、SNSなどの媒体や決済手段の変化にあわせるために、ECポータルサイトなどの機能追加を頻繁に行うことが増えています。
これによって、リリース頻度が増えるだけでなく、開発・リリースサイクル自体が短くなり、従来の外部ベンダーによるセキュリティ診断が間に合わず、やむを得ずリリースを遅らせるケースが発生します。
逆に、セキュリティ観点での設計レビューやセキュアコーディング、セキュリティ診断などの脆弱性への対応を怠ってサービスをリリースした結果、予期せぬ不正アクセスを受けてセキュリティインシデントに繋がるケースも考えられます。リリース計画に遅れが出ないように、かつ安全にリリースを進めるうえで有効な対策の一つとして、セキュリティ診断のうち定型的な脆弱性診断の手法やツール、プロセスの一部を内製して最適化することが挙げられます。
昨今では、安全なDXサービスの開発を目的としたDevSecOpsの一環として企業内でも脆弱性診断ツールを導入することが増えてきましたが、ツール選定や活用上の課題もあります。本ブログでは、脆弱性診断の内製化に向けた検討の進め方や、診断ツール導入後の運用上の考慮点について、事例を交えながら解説しています。
脆弱性診断を内製化する方法|DevSecOps実現の最初の一歩
NRI セキュアブログとは
このブログは、NRIグループの情報セキュリティ専門会社であるNRIセキュアテクノロジーズ(NRIセキュア)の社員が執筆した記事や、社員へのインタビュー記事などを掲載しています。NRIセキュアの社員は、国内外の関連資格を多数取得し、世界レベルの研鑽に励んだセキュリティのスペシャリストです。そのスペシャリストによる最新トレンドの解説をお届けします。
【リンク】NRI セキュアブログ