導入支援の背景
- 近年のシステムは外部の様々なシステムとつながることで利便性が向上していっていますが、その反面、セキュリティに関するリスクが高まってます。
- 高まるリスクから、様々なセキュリティ対策が行われていますが、製品作り込みの段階からのセキュリティ対策はあまり行われておらず、後付けでの対応が中心です。
- 豆蔵としては、セキュリティ対策には、システムズエンジニアリング、ソフトウェアエンジニアリングに基づく開発ライフサイクル全体を考慮した形での取り組み(セキュリティエンジニアリング)が重要と考えています。
こんなことでお困りではありませんか
豆蔵によるコンサルティング(課題解決)の特徴
- システムズエンジニアリング、ソフトウェアエンジニアリングに基づく開発ライフサイクル全体を考慮した形での、セキュリティへの取り組みに対するコンサルティングを行います。
- 製品開発の段階からセキュリティを作り込んでいく「セキュリティ・バイ・デザイン」により、要求獲得、仕様策定、アーキテクチャ設計、詳細設計、実装、テストまでの一貫したコンサルティングを行います。
- 車載、医療、ロボット(含クラウド連携モビリティ)等、多くのドメインの知見を保有しています。
サービス概要
下記①~④を中心としたコンサルティングを行います。
①セキュリティガイドラインや規格の適用
規格の解説や現場での適用についてご支援します。セキュリティの基本的な考え方や、ガイドラインおよび規格に関するトレーニングの実施、規格を取り込んだプロセスの策定をご支援します。
| 規格 | 概要 |
|---|---|
| ISO/IEC15408 | 情報システムセキュリティ機能11要件、保証10要件等 |
| IEC62443 | 産業制御システムに対するセキュリティ対策技術7分類とその詳細等 |
| ISO/SAE 21434 | 車載システムに対する脅威分析とリスク評価等 |
(※)その他、各種団体のガイドラインにも応じます。
②セキュリティを加味したシステム設計の実現
セキュリティに関する様々な技術(リスク分析手法やセキュリティ設計技法)の導入をご支援します。
③セキュリティ関連ツールの調査・選定・導入
ツール調査、選定、導入(環境構築だけでなく、プロセスを踏まえた形での導入も行います)を支援します。豆蔵はベンダーに対して中立的な立場で対応しております。そのため、特定のベンダに偏らない形でのツール調査や導入支援が可能です。
| ツールの例 | 概要 |
|---|---|
| 静的解析ツール | コードの脆弱性を発見する。 |
| SBOM/OSS脆弱性管理ツール | 設計/実装成果の構成要素の脆弱性を発見し、対応状況を管理する。 |
| レポート作成自動化ツール | セキュアコーディング規格への準拠状況をレポートする。 |
| ファジングツール | プロトコル仕様を分析し、テストケースを改変し応答を監視する。 |
| ペネトレーションテストツール | スキャン行為で情報を集め、脆弱性を発見する。 |
④セキュリティ観点のテスト設計、テスト環境
テスト分析・設計、テストケース作成を支援します(図は一例)。JSTQB教育やコンサルの実績もありますので、その知見も生かします(テスト環境構築も対応可能です)。
セキュリティエンジニアリングの講座
製品開発/システム開発におけるセキュリティの対応方法について短期間で学べる講座となっております。
これからセキュリティ対策を強化して行きたいが、開発の中で具体的にどのように取り組んでいけば良いか悩んでいる方や、そもそもセキュリティって何?という方には、本教育がお役に立つはずです。
セキュリティエンジニアリングの講座の詳細はこちらをご覧ください。