MS&ADホールディングス、「セキュリティ・バイ・デザイン」に基づいたセキュリティ強化スキームを構築
MS&ADグループにおいて、保険関連の情報システム全般にわたる企画・設計・ 開発・運用を担うMS&ADシステムズ株式会社(以下「MS&ADシステムズ」)は、NRIセキュアテクノロジーズ株式会社(以下「NRIセキュア」)の支援を受けて、従来のシステム開発工程を見直し、2022年10月に「セキュリティ・バイ・デザイン(注)」の考え方に 基づいたセキュリティ強化スキームを構築した。
これにより、システムの設計段階において、必要なセキュリティ要件に漏れがないかを評価できるようになり、デジタルトランスフォーメーション(DX)時代にふさわしい「システム開発のスピード」と 「セキュリティ確保」の両立を実現した。
(注)情報セキュリティを企画・設計段階から確保するための方策のこと。
1.新スキーム開発の背景
MS&ADグループは、2022年4月から4年間の中期経営計画において、「リスクソリューションのプラットフォーマーとして、社会と共に成長する」ことを目指しており、その実現のために「デジタルやデータの力を活用したリスクコンサルティングの高度化」に取り組んでいる。この目指す姿の実現に向け、グループ傘下の保険事業会社が開発する情報システムは、各事業に則する形で開発スピードが重視されてきた。
その中で大きな課題となっていたのが、短い開発ライフサイクルを維持しつつ、高度なセキュリティを確保することでした。従来の開発工程では、システムをリリースする直前にセキュリティ診断を行う ことが一般的である。しかしながら、開発工程の終盤において不備が発覚すると、その対応のためにリリース期日が遅延したり、追加コストが発生したりする可能性があるため、ビジネス上の大きなリスクとなる。そうした背景から、セキュリティを確保しながら予定通りにリリースするための手法が求められていた。そこでMS&ADシステムズとNRIセキュアは、システム開発の上流工程で必要なセキュリティ対策を盛り込む「セキュリティ・バイ・デザイン」の考え方を活用し、この課題を解決することとした。
2.新スキームの概要
具体的には、システム開発をパートナー会社へ委託する際、RFP(提案依頼書)と一緒にパートナー会社に提示する「セキュリティ対策充足確認資料の記載要領」を新たに作成した。企画するシステムが他のどんなシステムとつながり、どういったデータを扱うのかなどをまとめた資料である。これをもとに、パートナー会社は提案書と「セキュリティ設計書資料」をセットで提示する。
その結果、保険事業会社に負荷をかけることなく、設計の段階でシステムに必要なセキュリティ要件に漏れがないかを評価できるようになった。また、守るべきデータのありかが可視化され、セキュリティを確保する意識が向上し、リリース遅延やコスト増のリスクを低減させることに成功した。