Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

NIKKEI Tech Talk #41: セキュア・バイ・デザインからクラウド管理を考える

Avatar for Ryosuke Sekido Ryosuke Sekido PRO
December 18, 2025
Technology
0
120

NIKKEI Tech Talk #41: セキュア・バイ・デザインからクラウド管理を考える

【日経×Wiz×NRIセキュア】クラウド運用のカルチャーシフト 〜見える化が変える現場と組織の関係〜
https://nikkei.connpass.com/event/376052/

Avatar for Ryosuke Sekido

Ryosuke Sekido PRO

December 18, 2025
Tweet

More Decks by Ryosuke Sekido

See All by Ryosuke Sekido
シフトレフトで挑む セキュリティの生産性向上
Avatar for Ryosuke Sekido sekido
PRO
0
890
先進事例から学ぶ DevSecOpsでセキュリティに取り組むコツ
Avatar for Ryosuke Sekido sekido
PRO
0
600
ライブラリとの上手な付き合い方
Avatar for Ryosuke Sekido sekido
PRO
0
420

Other Decks in Technology

See All in Technology
Debugging Edge AI on Zephyr and Lessons Learned
Avatar for misoji engineer iotengineer22
0
220
CARTAのAI CoE が挑む「事業を進化させる AI エンジニアリング」 / carta ai coe evolution business ai engineering
Avatar for CARTA Engineering carta_engineering
0
1.9k
re:Invent2025 コンテナ系アップデート振り返り(+CloudWatchログのアップデート紹介)
Avatar for 枡川健太郎 masukawa
0
390
初めてのDatabricks AI/BI Genie
Avatar for Takaaki Yayoi taka_aki
0
200
Lessons from Migrating to OpenSearch: Shard Design, Log Ingestion, and UI Decisions
Avatar for SansanTech sansantech
PRO
1
140
プロンプトやエージェントを自動的に作る方法
Avatar for shibuiwilliam shibuiwilliam
12
10k
1人1サービス開発しているチームでのClaudeCodeの使い方
Avatar for おーしろ noayaoshiro
1
280
文字列の並び順 / Unicode Collation
Avatar for とみたまさひろ tmtms
3
600
Lambdaの常識はどう変わる?!re:Invent 2025 before after
Avatar for TomoyaIwata iwatatomoya
1
610
WordPress は終わったのか ~今のWordPress の制作手法ってなにがあんねん?~ / Is WordPress Over? How We Build with WordPress Today
Avatar for tbshiki tbshiki
1
800
Reinforcement Fine-tuning 基礎〜実践まで
Avatar for Morita ch6noota
0
190
寫​了​幾年​ Code,​然後​呢?​軟體​工程師​必須重新​認識​的​ DevOps
Avatar for Cheng-Wei Chen cheng_wei_chen
1
1.4k

Featured

See All Featured
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
19k
Docker and Python
Avatar for Tania Allard trallard
47
3.7k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.6k
Designing for Performance
Avatar for Lara Hogan lara
610
69k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
7k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
It's Worth the Effort
Avatar for 3n 3n
187
29k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
76
5.2k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
273
21k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
5.7k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
710

Transcript

  1. セキュア・バイ・デザインから クラウド管理を考える NIKKEI Tech Talk #41 クラウド運用のカルチャーシフト 〜見える化が変える現場と組織の関係〜 2025年12月18日 NRIセキュアテクノロジーズ株式会社

    サイバーエンジニアリング事業本部 シフトレフトセキュリティ事業部 エキスパートセキュリティコンサルタント 関戸 亮介

  2. 1 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. ◼セッション概要

    ⚫ セキュリティに取り組む考えの1つに『セキュア・バイ・デザイン』がある ⚫ セキュア・バイ・デザインは「よりよい世界を作る活動」であると解釈でき、多くのエンジニア・組織に広まってほしい ⚫ セキュア・バイ・デザインをクラウド管理に適用したとき「相互信頼」と「検証可能」で実現できると考えていきたい ◼目次 ⚫ 自己紹介 ⚫ クラウド管理の課題 ⚫ セキュア・バイ・デザインとは ⚫ 相互信頼と検証可能 ⚫ まとめ セキュア・バイ・デザインからクラウド管理を考える https://speakerdeck.com/sekido/ 20251218-nikkei-tech-talk-secure-by-design

  3. 2 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. ◼関戸

    亮介(せきど りょうすけ) ⚫ NRIセキュアテクノロジーズ株式会社 サイバーエンジニアリング事業本部 シフトレフトセキュリティ事業部 プロダクトセキュリティグループ ⚫ GM、エキスパートセキュリティコンサルタント ◼システム開発プロジェクトにおいてセキュア開発を支援 ⚫ 組織やシステム特性に応じたセキュリティ設計や開発プロセスの策定支援 ⚫ 自動化ツールの評価やCI/CDパイプラインへの組み込み支援 ⚫ DevSecOpsトレーニングコースの開発および講師 自己紹介

  4. 3 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. コンサルティング

    セキュリティ診断 SOC・マネージド セキュリティサービス セキュリティ ソリューション セキュリティ 教育・研修 企業のセキュリティ対策をトータルで支援する5つのサービスカテゴリ セキュリティ コンサルティング セキュリティコンサルタントによる 顧客密着型の課題解決支援 マネージド セキュリティサービス グローバル体制による24時間 365日のセキュリティ監視・防御 サービス、フォレンジック、インシデ ント・レスポンス セキュリティ ソリューション 自社開発に加え、最適な外 部技術も活用したトータルセ キュリティソリューションで顧客 の課題解決に寄与 サイバーセキュリティ専門家によ るセキュリティ診断、セキュリティ バイデザイン セキュリティ エンジニアリング 研究開発センター 先進技術の探索・評価、および事業・サービス開発の推進・統括 研究開発センターとインテリジェンスセンター 4つのコア事業 野村総合研究所グループにおける情報セキュリティ専門の中核企業、 トータルソリューションでお客様のセキュリティに関する課題の解決を支援 社会やニーズの変化・技術動向に応じた事業領域 インテリジェンスセンター セキュリティリスクマネジメントに関わるインテリジェンスの収集・蓄積・解析・洞察

  5. 4 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. ◼アジャイル開発を活かすセキュリティ対策として

    DevSecOpsやShift Leftを啓蒙している ◼2015年頃からDevSecOpsに着目し、 セキュア開発を実践した ◼多数の講演を通じて発信している 対外発信活動 2024年 GitLab社主催セミナーでの講演 2023年 金融ISAC アニュアル・カンファレンス2023での講演 IT社会の安全を支える仕事の認知向上のため 『サイバーセキュリティー会社図鑑』を制作 『ITロードマップ2017年版』に DevSecOpsの可能性に着目し執筆 デジタル政策フォーラム主催 『Cybersecurity Awards 2023』優秀賞受賞 2024年 翔泳社社主催セミナーでの講演

  6. 5 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. Copyright

    (C) Nomura Research Institute, Ltd. All rights reserved. 5 クラウド管理の課題

  7. 6 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. クラウド環境は利便性が高く、広く普及している

    クラウド管理の課題 ◼従来、ハードウェアやソフトウェアとして調達しており、調達のリードタイムが大きかった ◼クラウド環境は特定の機能(サービス)をインターネット経由で利用できる ◼契約がすめば利用でき、従来に比べると調達のリードタイムが小さく、利用できる 社内 情報資産 社外

  8. 7 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. 利便性の一方で組織利用の上でいくつか課題がある

    クラウド管理の課題 1. 意図しない利用者(攻撃者)がアクセスしていないか確認ができない 2. 自組織で、どのようなデータをどこに保管しているか把握できない 2 1 攻撃者 社内 情報資産 社外

  9. 8 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. Copyright

    (C) Nomura Research Institute, Ltd. All rights reserved. 8 セキュア・バイ・デザインとは

  10. 9 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. 『セキュア・バイ・デザイン』とは「よりよい世界を作る活動」である

    セキュア・バイ・デザインとは ◼サイバー攻撃は複雑化・高度化している ⚫ アンチウィルスソフトでの検出が困難な攻撃 ⚫ 1回の攻撃で被害を与えず、中長期的に段階を踏んだ攻撃 ⚫ 自組織を直接狙わず、委託先など他組織を経由した攻撃 ◼セキュア・バイ・デザイン:システムにまつわる活動に「セキュリティ」を組み込む ⚫ とくに企画・要件定義の段階からセキュリティを検討し、対策の計画立案や実施をする ⚫ かつ、利用者や関係者が実施可能な対策を通じ、セキュリティの効果をあげる ◼これらの活動を通じ、 安全で安心に満ちた社会をつくることに寄与する ビジネス部門 システム部門 セキュリティ部門 利用者や関係者

  11. 10 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. クラウド管理は相互信頼と検証可能で実現する

    セキュア・バイ・デザインとは ◼セキュア・バイ・デザインをクラウド管理に適用すると「相互信頼」と「検証可能」で実現できる ◼相互信頼:チーム間や組織間でお互いの取り組みを信用し、連携する ◼検証可能:自らの取り組みを示し、相手方が確認できること 相互信頼 検証可能 検証可能 セキュリティ部門 システム部門 事業部門 利用者

  12. 11 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. Copyright

    (C) Nomura Research Institute, Ltd. All rights reserved. 11 相互信頼と検証可能

  13. 12 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. ◼オンプレミス環境は境界防御として、区画内外で大きな信頼の境界が構築される

    ◼一方、クラウド環境は個々のサービスごとに信頼の境界が構築される ◼信頼の境界が小さいことから、ゼロトラストアーキテクチャとして構築することが多い クラウド管理はゼロトラストアーキテクチャが前提となる クラウド管理の「相互信頼」 オンプレミス環境は境界防御 クラウド環境はゼロトラスト

  14. 13 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. ゼロトラスト環境はIdPを用いて信頼をつなぐ

    クラウド管理の「相互信頼」 ◼ゼロトラストアーキテクチャでは情報資産へのアクセスは都度検証する ◼有効な認可情報を示せなければ、各サービスの情報資産へアクセスできない ◼社内外に設置したIdP(IDプロバイダ)にて利用者を認証し、サービスへのアクセスを認可する IdPを通じ、利用者の認証と、 各サービスや情報へのアクセスを認可する

  15. 14 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. Single

    Source of Truth:クラウド時代の棚卸し クラウド管理の「検証可能」 ◼利用サービスの分散を防ぐため、Single Source of Truthとして「利用サービス台帳」を作成する ◼利用開始時に台帳管理へ追加し、定期的に利用状況を確認する(棚卸し) ◼PoCや短期利用であっても、組織管理のデータを取り扱うならば台帳管理下とする ⚫ クラウドサービス名 ⚫ 契約担当者・支払い口座情報 ⚫ 所在地(国・地域) ⚫ 保存している情報項目 ⚫ アクセス制御方式(IPアドレス制限、そのほか) ⚫ アカウント管理(SSO、そのほか) ⚫ ・・・

  16. 15 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. 利用サービスを示し利用者に安心を届け、よりよい世界に寄与する

    クラウド管理の「検証可能」 ◼利用者はサービスの「裏側」を見ることができず、どこで・どのように使われるか見えない ◼サービス提供するうえで利用しているサービスや所在地・保存している情報項目などを示す ◼利用者が確認できることで「安心」につながり、よりよい世界の構築に寄与する 検証可能 ⚫ 利用クラウドサービス名 ⚫ 所在地(国・地域) ⚫ 保存している情報項目 ⚫ オプトアウト方法 ⚫ ・・・ 利用者

  17. 16 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. Copyright

    (C) Nomura Research Institute, Ltd. All rights reserved. 16 まとめ

  18. 17 Copyright (C) NRI SecureTechnologies, Ltd. All rights reserved. クラウド管理は相互信頼と検証可能で実現する

    まとめ ◼セキュア・バイ・デザインをクラウド管理に適用すると「相互信頼」と「検証可能」で実現できる ◼自らの取り組みができる範囲から始めて、チーム全体・組織全体へ拡大していく ◼これらの活動を通じ、安全で安心に満ちた社会をつくることに寄与する 相互信頼 検証可能 検証可能 セキュリティ部門 システム部門 事業部門 利用者
  19. None