★☆★JNSAメールマガジン 第217号 2021.8.6☆★☆
2021/08/06 (Fri) 15:00
★☆★JNSAメールマガジン 第217号 2021.8.6☆★☆
こんにちは
JNSAメールマガジン 第217号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは損害保険ジャパン株式会社の小中俊典様にご寄稿いた
だきました。
【連載リレーコラム】
DX推進におけるスマートなセキュリティ統制
損害保険ジャパン株式会社
IT企画部 セキュリティエバンジェリスト
小中 俊典
昨今、企業におけるDXへの取り組みが推奨されており、DX銘柄の選定も開始
されています。当社も2015年から基幹システムのDX※1に取り組み始め、よ
うやく損害保険サービスの共通となるベース機能が完成しました。DXと言う
と、業務革新×デジタル化がメインで語られることが多いことと思います。一
方、セキュリティ体制・対策については、既存のままで良いという判断が多い
と理解しています。
当社の場合も、過去何十年もエンハンス開発で継ぎ接ぎしながら延命させてき
たシステムに対して組織も人も業務も適合していたため、この部分への革新×
デジタル対応がDXのメインとなりプロジェクトはぐんぐん進んでいきました。
当然、サービス・プロダクトに対するセキュリティ体制・対策はそれほど考慮
されておらず、従来型のままでした。ここで言うところの従来型とは、品質管
理体制内で行うセキュリティ対策であり、ヒアリングや紙をベースとした旧来
の管理手法のことを指します。
ちなみに、DXプロジェクトにおいては先進的な取り組みも多分に含まれるこ
ととなり、この仕組みでは十分なセキュリティ対策やガバナンスを適切なタイ
ミングで効かせることができない状況になります。
当社もDXプロジェクト発足当初は上記従来型で進めたため、品質管理の一部
としてのセキュリティ対策を実施し、ガバナンスを強化しようとしたものの不
十分であると気付かされました。そのきっかけとなったものは、DXプロジェ
クトにおけるオープンソースソフトウェア(OSS)利用促進と自社開発環境提
供の2つでした。具体的には開発においてOSSを積極利用する形でインフラ
やアプリケーションを構築すること、開発環境として自社がCI/CD環境を用
意し当社内環境で開発からリリースまでを一気通貫で実現できるように開発者
へ環境を提供することです。
CI/CDとは「継続的インテグレーション/継続的デリバリー」のことで、ビルド・
テスト・デプロイを自動化し開発プロセスを高速化する手法のことです。これ
により、開発成果物を当社で詳細に管理(SBOM管理※2)することができる
ようになり、結果的に、従来型請負開発や品質管理では発見できないような脆
弱性を早期に発見しました。特に、当社のプロジェクトではOSSを積極利用し
たため、開発中工程でライブラリ単位での脆弱性を開発者が発見する等、脆弱
性管理と対応を自社で行う必要性にも気づかされました。
上記の様なセキュリティ課題は従来型の品質管理部門による手法や体制で発見
し、対処することは困難であるということが分かると思います。(工程完了の
タイミングで発見されても誰もうれしくない)当社において必要な施策は正確
な脆弱性検知に基づいた影響分析と対策優先順位であると理解し、CIO判断の
もと従来型の品質管理部門から独立し、従来型の管理手法や紙での管理ではな
いセキュリティも新しい仕組みを導入し、デジタルでプロジェクトを支えると
いう考えのもと、セキュリティDX実現に向け以下4つに取り組むという目標
を持ってセキュリティ専門チームを立ち上げました。昨今でいうPSIRT※3で、
これは業界問わず早い段階での有効な組織の立ち上げとなったのではないかと
思います。このチームは当社損害保険サービスを構成する各プロダクトに対し
てセキュリティ面で支援しつつ、ガバナンスを効かせるという役割を担いまし
た。
(1)ルール、マインドの解凍と再構成
(2)ビジョン、問題提起、イニシアティブ形成
(3)自動化試行とフィットしたツール選定、活用
(4)セキュリティ統制チームと開発チームのコラボレーション
上記4つのうちセキュリティDXを成し遂げるために肝になるのは(4)でした。
最終的に脆弱性対応をするのは開発現場であり、セキュリティレベルを高める
のは当たり前とし、その上で現場生産性阻害を極力低減する姿勢抜きにセキュ
リティDXは達成困難だと思いました。そのためにはセキュリティ担当者がセ
キュリティ原理主義者にならないように自身に気を配り(特にツール導入する
と今まで見えなかったものが見えるようになるため、その傾向が顕著)、現場
の負担感に目を配り、できればその負担感を極力減らすような志向にて新たな
問題提起し、イニシアティブをもって、解決策を導入できればよりスマートに
セキュリティDXを達成できるものと考えています。
※1当社DX https://www.sompo-japan.co.jp/-/media/SJNK/files/news/2021/20210601_2.pdf?la=ja-JP
※2SBOM https://www.synopsys.com/blogs/software-security/ja-jp/software-bill-of-materials-bom/
※3PSIRT https://www.jpcert.or.jp/research/psirtSF.html
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第217号の感想をお寄せください。
https://ux.nu/1d9Wo
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★セキュリティしんだん(31)
「今からでもやるべき「敵を知る」ために。」を公開しました。
株式会社エヌ・ティ・ティ・データ 井上克至様にご寄稿いただきました。
https://www.jnsa.org/secshindan/index.html
★JNSAソリューションガイドに「情報セキュリティ10大脅威 2021」に対応
したソリューション検索を掲載しました。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★組織で働く人間が引き起こす不正・事故対応WGのインタビュー連載
「働く自衛官の満足度の向上・維持」を掲載しました。
・特別編 金沢工業大学虎ノ門大学院
https://www.jnsa.org/result/soshiki/index.html
★【会員限定】会員交流部会主催勉強会開催
8月23日(月)、8月24日(火)両日とも15時から16時半予定
「続・ゼロトラスト夏期講習会 ~ゼロトラスト、その後どうなった?~」
と題しまして開催いたします。
近日中にご参加お申込み開始予定です、お楽しみにお待ちください。
【事務局からのお知らせ】
★JNSAソリューションガイドでは、会員企業が
開催するオンラインイベント/セミナー情報をご覧いただけます。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。ご注意ください。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第217号
発信日:2021年8月6日
発 行:JNSA事務局 office@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第217号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは損害保険ジャパン株式会社の小中俊典様にご寄稿いた
だきました。
【連載リレーコラム】
DX推進におけるスマートなセキュリティ統制
損害保険ジャパン株式会社
IT企画部 セキュリティエバンジェリスト
小中 俊典
昨今、企業におけるDXへの取り組みが推奨されており、DX銘柄の選定も開始
されています。当社も2015年から基幹システムのDX※1に取り組み始め、よ
うやく損害保険サービスの共通となるベース機能が完成しました。DXと言う
と、業務革新×デジタル化がメインで語られることが多いことと思います。一
方、セキュリティ体制・対策については、既存のままで良いという判断が多い
と理解しています。
当社の場合も、過去何十年もエンハンス開発で継ぎ接ぎしながら延命させてき
たシステムに対して組織も人も業務も適合していたため、この部分への革新×
デジタル対応がDXのメインとなりプロジェクトはぐんぐん進んでいきました。
当然、サービス・プロダクトに対するセキュリティ体制・対策はそれほど考慮
されておらず、従来型のままでした。ここで言うところの従来型とは、品質管
理体制内で行うセキュリティ対策であり、ヒアリングや紙をベースとした旧来
の管理手法のことを指します。
ちなみに、DXプロジェクトにおいては先進的な取り組みも多分に含まれるこ
ととなり、この仕組みでは十分なセキュリティ対策やガバナンスを適切なタイ
ミングで効かせることができない状況になります。
当社もDXプロジェクト発足当初は上記従来型で進めたため、品質管理の一部
としてのセキュリティ対策を実施し、ガバナンスを強化しようとしたものの不
十分であると気付かされました。そのきっかけとなったものは、DXプロジェ
クトにおけるオープンソースソフトウェア(OSS)利用促進と自社開発環境提
供の2つでした。具体的には開発においてOSSを積極利用する形でインフラ
やアプリケーションを構築すること、開発環境として自社がCI/CD環境を用
意し当社内環境で開発からリリースまでを一気通貫で実現できるように開発者
へ環境を提供することです。
CI/CDとは「継続的インテグレーション/継続的デリバリー」のことで、ビルド・
テスト・デプロイを自動化し開発プロセスを高速化する手法のことです。これ
により、開発成果物を当社で詳細に管理(SBOM管理※2)することができる
ようになり、結果的に、従来型請負開発や品質管理では発見できないような脆
弱性を早期に発見しました。特に、当社のプロジェクトではOSSを積極利用し
たため、開発中工程でライブラリ単位での脆弱性を開発者が発見する等、脆弱
性管理と対応を自社で行う必要性にも気づかされました。
上記の様なセキュリティ課題は従来型の品質管理部門による手法や体制で発見
し、対処することは困難であるということが分かると思います。(工程完了の
タイミングで発見されても誰もうれしくない)当社において必要な施策は正確
な脆弱性検知に基づいた影響分析と対策優先順位であると理解し、CIO判断の
もと従来型の品質管理部門から独立し、従来型の管理手法や紙での管理ではな
いセキュリティも新しい仕組みを導入し、デジタルでプロジェクトを支えると
いう考えのもと、セキュリティDX実現に向け以下4つに取り組むという目標
を持ってセキュリティ専門チームを立ち上げました。昨今でいうPSIRT※3で、
これは業界問わず早い段階での有効な組織の立ち上げとなったのではないかと
思います。このチームは当社損害保険サービスを構成する各プロダクトに対し
てセキュリティ面で支援しつつ、ガバナンスを効かせるという役割を担いまし
た。
(1)ルール、マインドの解凍と再構成
(2)ビジョン、問題提起、イニシアティブ形成
(3)自動化試行とフィットしたツール選定、活用
(4)セキュリティ統制チームと開発チームのコラボレーション
上記4つのうちセキュリティDXを成し遂げるために肝になるのは(4)でした。
最終的に脆弱性対応をするのは開発現場であり、セキュリティレベルを高める
のは当たり前とし、その上で現場生産性阻害を極力低減する姿勢抜きにセキュ
リティDXは達成困難だと思いました。そのためにはセキュリティ担当者がセ
キュリティ原理主義者にならないように自身に気を配り(特にツール導入する
と今まで見えなかったものが見えるようになるため、その傾向が顕著)、現場
の負担感に目を配り、できればその負担感を極力減らすような志向にて新たな
問題提起し、イニシアティブをもって、解決策を導入できればよりスマートに
セキュリティDXを達成できるものと考えています。
※1当社DX https://www.sompo-japan.co.jp/-/media/SJNK/files/news/2021/20210601_2.pdf?la=ja-JP
※2SBOM https://www.synopsys.com/blogs/software-security/ja-jp/software-bill-of-materials-bom/
※3PSIRT https://www.jpcert.or.jp/research/psirtSF.html
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第217号の感想をお寄せください。
https://ux.nu/1d9Wo
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★セキュリティしんだん(31)
「今からでもやるべき「敵を知る」ために。」を公開しました。
株式会社エヌ・ティ・ティ・データ 井上克至様にご寄稿いただきました。
https://www.jnsa.org/secshindan/index.html
★JNSAソリューションガイドに「情報セキュリティ10大脅威 2021」に対応
したソリューション検索を掲載しました。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★組織で働く人間が引き起こす不正・事故対応WGのインタビュー連載
「働く自衛官の満足度の向上・維持」を掲載しました。
・特別編 金沢工業大学虎ノ門大学院
https://www.jnsa.org/result/soshiki/index.html
★【会員限定】会員交流部会主催勉強会開催
8月23日(月)、8月24日(火)両日とも15時から16時半予定
「続・ゼロトラスト夏期講習会 ~ゼロトラスト、その後どうなった?~」
と題しまして開催いたします。
近日中にご参加お申込み開始予定です、お楽しみにお待ちください。
【事務局からのお知らせ】
★JNSAソリューションガイドでは、会員企業が
開催するオンラインイベント/セミナー情報をご覧いただけます。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。ご注意ください。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第217号
発信日:2021年8月6日
発 行:JNSA事務局 office@jnsa.org
*************************************