-診断基準を維持し、コスト面にも配慮した実施体制-
株式会社SynX(代表取締役:西 潤一郎、本社:東京都千代田区、主要株主:ポールトゥウィンホールディングス株式会社(100%)、東京証券取引所プライム市場上場(証券コード:3657)、以下 SynX)は、株式会社NTTデータ関西(代表取締役社長:中島 弘嗣、本社:大阪府大阪市)が提供する自治体向けクラウドサービスに対し、本番環境でのセキュリティ診断を実施しました。
本取り組みでは、深夜帯でのネットワークペネトレーションテストを含めた診断を行い、診断基準および内容を維持しながら、実施体制の見直しを行っています。
背景:自治体システムに求められる安全性と現実的な制約
自治体が提供する電子申請や各種手続きの受付システムは、住民向けサービスとして高い可用性と安全性が求められます。
これらのシステムに対しては、Webアプリケーション診断やネットワークペネトレーションテストの実施が求められるケースも多く、継続的な対応が重要となります。
一方で、診断の継続的な実施にあたっては、コスト面も重要な検討要素となります。
取り組み概要
本取り組みでは、自治体向けクラウドサービスを対象に、以下の内容でセキュリティ診断を実施しました。
対象
自治体向けクラウドサービス(電子申請・住民向け受付サービス)
診断内容
・Webアプリケーション診断(5営業日)
・ネットワークペネトレーションテスト(4営業日/深夜実施)
実施条件
実施環境:本番環境
実施時間帯:日中(9:00~18:00)
深夜帯(21:00~翌3:00)
実施位置づけ:定期的なセキュリティ診断の一環として実施
特徴1.:深夜帯での診断対応
ネットワークペネトレーションテストは、サービスへの影響に配慮し、21時から翌3時の時間帯で実施しました。
これにより、本番環境の構成および通信経路を対象とした、実環境に即した検証を行っています。
特徴2.:運用への影響に配慮した診断実施
本番環境での診断においては、サービスへの影響に配慮し、以下の点を踏まえて対応しました。
・事前の関係者との調整および実施内容の整理
・深夜帯対応を含む実施時間の設定
・影響を考慮した実施手順の設計
これにより、実施時間や進行に関して柔軟に対応しながら、診断を実施しています。
特徴3.:診断基準を維持した実施体制の見直し
本取り組みでは、診断項目・基準・範囲を維持したまま、実施体制の見直しを行いました。
継続的な診断において検討事項となるコスト面にも配慮した対応となっています。
継続的な診断実施について
対象サービスでは、定期的なセキュリティ診断の実施を前提とした運用が行われています。
システムは運用を通じて変化するため、単発の診断だけでなく、継続的な確認を行うことが重要です。
定期的な診断を通じて、環境の変化に応じたリスクの把握と対応につなげることが可能となります。
お客様からの評価
本番環境での診断や深夜帯対応といった制約のある条件下においても、柔軟な対応について評価をいただいています。
株式会社NTTデータ関西 ご担当者様
「従来同様の水準を担保する観点から、診断結果のご報告につきましては、当社として確認させていただきたい項目を含めていただくよう事前にお願いしておりましたが、柔軟にご対応いただき、依頼どおりの資料をご納品いただきました。
今後も継続的なご支援をお願いできればと考えておりますので、新たな脅威への対応についても引き続き意見交換をさせていただきながら、協力関係を築いていければ幸いです。」
今後の展望
SynXでは、システム特性や運用条件に応じたセキュリティ診断の実施を通じて、継続的な診断運用の支援を行ってまいります。
詳細情報
本取り組みの詳細は、当社ホームページの事例ページにてご紹介しています。
URL:https://www.synx.co.jp/case/security_01
SynXについて
SynXは、開発・QA・ITインフラ・セキュリティを統合したサービス「SynX One」を提供し、企業のDX推進と事業成長を支援しています。
内製体制による一貫したサービス提供により、「止まらないIT」の実現を目指しています。
URL:https://www.synx.co.jp
本件に関するお問い合わせ先
株式会社SynX
広報担当
Email:public.relations_desk@synx.co.jp