サービスのセキュリティの事例
~新規サービス企画と
セキュリティ~
事業継続のためリスクへ対応する
DXに代表されるように、新たなビジネスモデルを創出していく事業企画を進めることが多くなりました。今までになかった取り組みですので、事業を企画する際には、多くのことを検討しないといけません。この検討にはセキュリティも含まれます。
セキュリティというと社内の情報を守るといったイメージが強いですが、これからのセキュリティ担当は、事業への関与を高め、自社サービスに対してのセキュリティも考えていく必要があります。
ある企業では、システム会社と連携し新システムを構築し、ユーザーへサービスを提供する企画を進めています。
事業企画では、セキュリティ担当者も加わり議論が進められます。セキュリティ担当者の観点としては、この事業を継続していくためのリスクを把握し、適切に対処していくことでした。
| 委託先に対するセキュリティ担当者の対応 | |
|---|---|
| 委託先組織に対する確認 | セキュリティのトレーニングは最低年1回は実施している |
| 個人情報に関する責任者を定めている | |
| 委託先開発環境の確認 | 開発環境と本番環境は分割している |
| 特権アカウントは厳重に管理されている | |
| 本番環境へのアクセスは制限されている |
| サービス運用に対するセキュリティ担当者の対応 | |
|---|---|
| 運用ルール検討 | ユーザー問い合わせ対応の認証方法 |
| OS・アプリケーションなどのバージョンアップ対応手順 | |
| システム検討 | ログイン失敗回数の許容範囲 |
| 認証失敗時の画面表示文言の検討 | |
| 取得ログやログへのアクセス権 |
※記載の内容はサンプルです。
セキュリティ担当者は事業設計から関わることで、リスクの対応をより早い段階で行うことができます。より早い段階だからこそ、回避や低減など多くの選択肢から手段を検討でき、事業継続のための適切な対応につながります。