NRIセキュアテクノロジーズ(NRIセキュア、小田島潤社長)は、システムの設計段階から情報セキュリティ対策のツールを組み込んだり、利用状況を遠隔で監視・分析するサービスによって、人手に依存しないセキュリティビジネスの拡大に力を入れている。変化の激しいデジタルビジネスに適応するため、短期間で改善を繰り返すアジャイル開発やDevOps(開発と運用の一体化)の手法を取り入れるプロジェクトが増えているが、セキュリティの専門家が足りていない状況が続いている。人に依存しない仕組みをつくることで、ユーザー企業のセキュリティ需要に応えていく。

小田島 潤
社長

 セキュリティの専門家不足に対応するため、NRIセキュアでは積極的に人員を採用しており、直近の連結従業員数は5年前の2倍に相当する490人余りに増えた。売上高もここ数年は年平均10%程度で伸びている。それでも「旺盛なセキュリティ対策需要に応えきれていない状態が続いている」(小田島社長)という。人手に依存したままでは、セキュリティ支援を担当するコンサルタントの頭数で受注や売り上げの上限が決まってしまう。

 そこで、設計の段階からセキュリティの脅威分析を組み込み、開発やテストの段階でもツールによってセキュリティを随時チェックする。運用フェーズでは、NRIセキュアの遠隔監視サービスによって脅威をいち早く察知。近年のデジタルビジネスで採用されることの多いDevOpsであれば、その工程のなかにセキュリティを組み込む「DevSecOps」の手法を積極的に取り入れることで、「自動化され、標準化された仕組みによってセキュリティサービスの提供を実現する」(同)。

 振り返れば、2019年は大手流通会社が手がけたキャッシュレス決済に重大なセキュリティ問題が発生し、サービス立ち上げ早々に休止に追い込まれる事態となった。プログラムの実装が正しく行われ、規定通りの運用がなされていたとしても、設計の段階で最新セキュリティの基準を満たしていなければ問題が発生するリスクは低減できない。また、使い勝手を損なわないために、敢えてセキュリティレベルを落としたとしても、その脆弱性を遠隔監視で補うといった多層的な防御設計を求められるケースも多い。

 NRIセキュアではデジタルビジネスの企画段階からセキュリティコンサルタントとしてプロジェクトに参画。設計から運用まで仕組みやツールによって自動化、標準化する手法でユーザー企業の需要に応えていく。こうした取り組みによって、NRIグループの長期経営ビジョン「Vision2022」の最終年度である23年3月期に向かって、引き続き年平均10%程度で売り上げを伸ばしていく方針。(安藤章司)