2007年12月12日
株式会社野村総合研究所
組み込み系ソフトウェア開発環境における
オープンソースのセキュリティ強化支援を開始
オープンソースのセキュリティ強化支援を開始
株式会社野村総合研究所(本社:東京都千代田区、社長:藤沼彰久、以下「NRI」)は、家電、携帯電話、オフィス機器、産業用機械などの機器に組み込まれている、いわゆる組み込み系ソフトウェア開発を行っている企業向けに、オープンソースソフトウェアのセキュリティ強化サービスを本日より提供開始します。
現在、製造業における組み込み系ソフトウェア開発において、オープンソースソフトウェアを導入したWebサーバやファイルサーバ、バージョン管理ツールなどが、設計文書やプログラムの管理などの目的で広く利用されています。
しかし、これらのサーバ群は部門ごと、開発チームごとに導入・管理されている場合が多く、企業内の全体的なセキュリティの観点からみると、認証・認可やアクセスログの取得、データバックアップなどについて、一元的な管理がされておらず必要なセキュリティレベルに達していないケースが多く見受けられます。
NRIは、このような問題を解決するため、組み込み系ソフトウェア開発を行っている企業向けに、オープンソースソフトウェアのセキュリティ強化を図るサービスを提供します。具体的には、ApacheやTomcatなどがインストールされているWebサーバ、CVSやSubversionなどが入ったバージョン管理ツールなどが対象となります。NRIは、オープンソース・サポートサービス「OpenStandia」を用いて、アクセスコントロール、データのバックアップ、システム監視などの統合的な管理サービスを行います。さらにオプションとして、仮想化技術を用いたサーバ統合も行います。
このサービスにより、お客様は、すでに使っているオープンソースの文書やプログラム管理ツールをそのまま活用しながら、オープンソース活用のメリットである低コストを維持しながら、一層のセキュリティ強化と社内の一元的なセキュリティ管理を実現できます。
価格は1システムあたり300万円からです。NRIは2008年度までに、サーバ2,000台規模のサービス利用を見込んでいます。
現在、製造業における組み込み系ソフトウェア開発において、オープンソースソフトウェアを導入したWebサーバやファイルサーバ、バージョン管理ツールなどが、設計文書やプログラムの管理などの目的で広く利用されています。
しかし、これらのサーバ群は部門ごと、開発チームごとに導入・管理されている場合が多く、企業内の全体的なセキュリティの観点からみると、認証・認可やアクセスログの取得、データバックアップなどについて、一元的な管理がされておらず必要なセキュリティレベルに達していないケースが多く見受けられます。
NRIは、このような問題を解決するため、組み込み系ソフトウェア開発を行っている企業向けに、オープンソースソフトウェアのセキュリティ強化を図るサービスを提供します。具体的には、ApacheやTomcatなどがインストールされているWebサーバ、CVSやSubversionなどが入ったバージョン管理ツールなどが対象となります。NRIは、オープンソース・サポートサービス「OpenStandia」を用いて、アクセスコントロール、データのバックアップ、システム監視などの統合的な管理サービスを行います。さらにオプションとして、仮想化技術を用いたサーバ統合も行います。
このサービスにより、お客様は、すでに使っているオープンソースの文書やプログラム管理ツールをそのまま活用しながら、オープンソース活用のメリットである低コストを維持しながら、一層のセキュリティ強化と社内の一元的なセキュリティ管理を実現できます。
価格は1システムあたり300万円からです。NRIは2008年度までに、サーバ2,000台規模のサービス利用を見込んでいます。
【ニュースリリースに関するお問い合わせ先】
野村総合研究所 広報部 日下部、瀬戸 TEL:03-6660-8370 E-mail:
【製品・サービスに関するお問い合わせ先】
野村総合研究所 広報部 日下部、瀬戸 TEL:03-6660-8370 E-mail:
野村総合研究所 オープンソースソリューションセンター
TEL:045-335-9538 E-mail:
TEL:045-335-9538 E-mail:
【ご参考】
●サービスの概要
1.対象となるオープンソースソフトウェア
Apache、Tomcat、MySQL、PostgreSQL、Samba、CVS、Subversion、Sendmail
※その他のオープンソースソフトウェアも相談に応じます。
※オープンソースとその他のプラットフォームの混在環境でも可能です。
2.サービスの内容
・標準化されたプラットフォームの導入
・ID/パスワードによる認証、およびアクセスコントロール(認可)
・アクセスログの取得、管理
・データのバックアップ
・セキュリティ情報の取得、およびパッチの適用
・システム監視
・仮想化技術を用いたサーバ統合(オプション)
※詳細は、http://www.nri-aitd.com/openstandia/solution/embed/index.html をご覧下さい。
●セキュリティ対策の不備によって起こりうるリスクの例
●サービスの概要
1.対象となるオープンソースソフトウェア
Apache、Tomcat、MySQL、PostgreSQL、Samba、CVS、Subversion、Sendmail
※その他のオープンソースソフトウェアも相談に応じます。
※オープンソースとその他のプラットフォームの混在環境でも可能です。
2.サービスの内容
・標準化されたプラットフォームの導入
・ID/パスワードによる認証、およびアクセスコントロール(認可)
・アクセスログの取得、管理
・データのバックアップ
・セキュリティ情報の取得、およびパッチの適用
・システム監視
・仮想化技術を用いたサーバ統合(オプション)
※詳細は、http://www.nri-aitd.com/openstandia/solution/embed/index.html をご覧下さい。
●セキュリティ対策の不備によって起こりうるリスクの例
| リスクの分類 | リスクの内容 | |
| 1. | 認証・認可の不備によるもの | 情報システムの開発の際に意図的に不正なプログラムが埋め込まれる。その結果、情報システムが処理するデータの信頼性が保証されない。 |
| 2. | 情報システムの保守の際にプログラムが改ざんされ、承認なく変更される。その結果、情報システムが処理するデータの信頼性が保証されない。 | |
| 3. | 適切な認証やアクセス制御がないため、文書の改ざんや不正なアクセスが起きる。 | |
| 4 | 上記の結果、プログラムや設計文書が、外部に漏えいする。 | |
| 5. | アクセスログ取得の不備によるもの | アクセスログの取得、および保存がされていないため、不正行為があった場合に追跡調査ができない。 |
| 6. | セキュリティ・パッチ適用の不備 | セキュリティ・パッチに関する適切な情報を収集しておらず、重大なセキュリティ・ホールの存在に気づかない。 |
| 7. | セキュリティ・パッチの適用を行っていないため、セキュリティ・ホールを攻撃され、不正なアクセスにより情報漏えいやシステムの破壊が行われる。 | |
| 8. | モニタリングの不備によるもの | 情報システムに関する重要な問題点(システム障害、変更点、対応状況等)が企業内(経営者、IT部門、ユーザ部門および関係部門)、業務委託先、提携先、取引先等の関係者に適切に伝えられないため、情報システムに関するリスクの対応に支障が生じる。 |
| 9. | 運用時の不正な操作や、エラー等を発見できない。その結果、情報システムが処理するデータの信頼性が保証されない。 | |
| 10. | バックアップの不備によるもの | データのバックアップが適切に行われていないため、サーバ障害等があった場合に、データが損失し、復旧できない。これにより、業務が継続できない状況に陥る。 |
当リリースに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。
Copyright (c)2007 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.
Inquiries : webmaster@nri.co.jp
Copyright (c)2007 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.
Inquiries : webmaster@nri.co.jp