NEC、年間数千プロジェクトの脆弱性を可視化　客観データで顧客への説明責任を強化

　日本電気（NEC）は、製品・サービス・システムのセキュリティガバナンス強化を目的に、プロダクトセキュリティ統合支援サービス「IssueHunt One」を採用した。4月8日、IssueHuntが発表した。年間数千件に及ぶプロジェクトの脆弱性診断結果を可視化・一元管理することで、顧客や当局への説明責任（アカウンタビリティ）を果たす体制を構築する。

　NECはSIerとして、多種多様かつ膨大なシステム開発を請け負っている。10年以上前から出荷前の脆弱性診断をルール化し、現場への浸透を図ってきたが、診断結果が各プロジェクト内に留まり、全社を統括する立場から実態を把握できない「ブラックボックス化」が課題となっていた。

　IssueHunt Oneの採用にあたっては、SIer特有の膨大かつ多業種にわたるプロジェクトを一元的に管理できる柔軟性を評価した。また、蓄積したデータを分析することで、特定の脆弱性が頻発している箇所のルール改善や、現場のエンジニア教育へフィードバックできる点も決め手となった。

　導入により、これまで「NECのルールに基づいている」という机上の説明に留まっていたセキュリティ対策が、客観的なデータとして即座に提示可能になった。いつ、どの診断を行い、いつ修正を完了したかというエビデンスを容易に取り出せるようになり、国際的なレギュレーションへの対応力も高まった。

　さらに、脆弱性の傾向分析に基づきリスクが集中するポイントを特定することで、現場のエンジニアが闇雲に努力するのではなく、効率的な対策を打てる環境を整備した。出荷直前のテストで重大な脆弱性が発見されることによる設計の「手戻り」を削減し、年間数千の案件を抱える組織全体でのコストメリット最大化を目指す。

　今後は、自社プロジェクトのリスクをリアルタイムで把握し続けるとともに、現場の自律性を高めるツールとして活用を広げる。NEC全体の開発スピードとセキュリティ品質をより高い次元で融合させていく。

ニュースリリース