2024年2月16日
日本電気株式会社
日本電信電話株式会社
日本電信電話株式会社(本社:東京都千代田区、代表取締役社長:島田 明、以下「NTT」)および日本電気株式会社(本社:東京都港区、取締役 代表執行役社長 兼 CEO:森田 隆之、以下「NEC」)を幹事事業者とし、2023年9月サプライチェーンセキュリティリスクの低減を目的とする「セキュリティ・トランスペアレンシー・コンソーシアム(Security Transparency Consortium、以下「本コンソーシアム」)」を発足しました。
発足時の参加事業者であるアラクサラネットワークス株式会社、株式会社NTTデータグループ、株式会社FFRIセキュリティ、シスコシステムズ合同会社、株式会社日立製作所、三菱電機株式会社に、あらたにNRIセキュアテクノロジーズ株式会社、東京エレクトロン株式会社が加わり、本コンソーシアムに取り組んでいます。今回、活動成果として、製品・システム・サービス等に関して「つくる側」が作成・提供した可視化データを利用する際に直面する問題を「つかう側」からとりまとめ、その問題解決に向けた本コンソーシアムの活動方針を活動ビジョンとして公表しました。
製品・システム・サービス等がサプライチェーンを通じてセキュリティ侵害を受ける「サプライチェーンセキュリティリスク」は、各構成要素の供給元なども含めた全世界に拡がったサプライチェーン全体での対応が求められます。このような中、世界各国では法制度の整備を通じて、ソフトウェア部品を一覧化する標準データ形式であるSBOMフォーマット※1に基づき、ソフトウェア構成に関する「可視化データ」の作成および提供をサプライチェーンの供給側を担う事業者に求める動きが活発化しています。
このような動きによって、可視化データを「つくる側」の視点にますますフォーカスしていくと、可視化データの生成に伴うコスト負担の問題のような「つくる側」の問題対処ばかりに偏重してしまう可能性があります。その結果、可視化データを現実的な範囲でつくることが目的化してしまい、可視化データが本来もたらすはずであった利点を損なうおそれがあります。一方、「つかう側」の視点にも立った検討を行うことによって、例えば、可視化データを有用につかうために満たすべきデータ内容の条件※2を見出することができれば、「つくる側」が行う可視化データの生成においても無駄なデータ生成を回避しやすくなるなどのメリットがもたらされます。
このように真に問題を解決するためには、サプライチェーンにおける「つくる側」と「つかう側」にあたる多様な事業者による協調に加えて、特に「つかう側」の視点も取り入れた問題対処が不可欠です。
本コンソーシアムは、SBOMなどの可視化データの活用によってサプライチェーンを通じてセキュリティの透明性を高め、製品・システム・サービス等に関するサプライチェーンセキュリティリスクの抜本的な低減をめざしています。可視化データの作成および提供のような「つくる側」の取り組みが進む中、本コンソーシアム活動を通じた可視化データを「つかう側」の取り組みを加速させることは、さらなる可視化データの作成と提供へとつながる好循環をもたらします。
そこで、本コンソーシアムでは、「つかう側」の取り組みひとつとして可視化データを活用する際に「つかう側」が直面する問題を以下のとおり提起するとともに、各問題に対処するために本コンソーシアムがめざすゴールおよびゴール達成に向けた活動方針、活動内容を活動ビジョンとしてウェブサイト※3にて公表しました。
本活動ビジョンは、SBOM等を活用しはじめている、もしくは活用を検討している多くの事業者が直面する問題について共通認識を醸成し、それらに協調して対処するための出発点となります。
本コンソーシアムの場を通じた多様な事業者の協調的な取り組みによって、前述の可視化データ活用における各問題に関する対処策を共創し、「可視化データ活用に関する知見集(仮称)」をホワイトペーパーとしてとりまとめ、ウェブサイト※3にて、2024年春以降、順次公表していく予定で、引き続き事業者の拡大にも取り組んでまいります。
参加事業者は以下のとおりです。さらなる参加事業者の募集をウェブサイト※3にて実施中です。
経済産業省は、企業によるSBOMの利活用を推進するための検討を進めており、2023年7月、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定いたしました。
ソフトウェアの脆弱性への対応に係る初動期間の短縮や管理コストの低減等のSBOM導入による効果を発揮するためには、SBOMを「つくる側」だけではなく「つかう側」の視点も取り入れた検討が重要です。本コンソーシアムにより、企業によるSBOMの利活用が進み、日本の産業界におけるサイバーセキュリティ能力の向上に繋がることを期待いたします。
※1Software Bill of Materials、製品に含まれるソフトウェア部品を一覧化するためのデータ形式
URL:https://www.ntia.gov/
※2SBOM等の可視化データが含むべきデータ項目の「品揃え」「形式」「値」などの条件をつかう側の用途(セキュリティ運用等)の視点から定めたもの。
※3セキュリティ・トランスペアレンシー・コンソーシアムウェブサイト
URL:https://www.st-consortium.org
※4日本電信電話株式会社の代表参加を通じて以下のNTTグループ各社も本コンソーシアムと連携します。
東日本電信電話株式会社(本社:東京都新宿区、代表取締役社長:澁谷 直樹)、
西日本電信電話株式会社(本社:大阪府大阪市都島区、代表取締役社長:森林 正彰)、
株式会社NTTドコモ(本社:東京都千代田区、代表取締役社長:井伊 基之)、
NTTコミュニケーションズ株式会社(本社:東京都千代田区、代表取締役社長:丸岡 亨)、
NTTアドバンステクノロジ株式会社(本社:東京都新宿区、代表取締役社長:伊東 匡)、
NTTテクノクロス株式会社(本社:東京都港区、代表取締役社長:岡 敦子)
コンソーシアムに関するお問い合わせ先
セキュリティト・トランスペアレンシー・コンソーシアム事務局
stc-info@st-consortium.org
本件に関する報道機関からのお問い合わせ先
日本電信電話株式会社
サービスイノベーション総合研究所
企画部広報担当
nttrd-pr@ml.ntt.com
日本電気株式会社
グローバルイノベーション戦略統括部
https://contact.nec.com/http-jpn.nec.com_tb_142rd_4b126d/?fid=4b126d
ニュースリリースに記載している情報は、発表日時点のものです。
現時点では、発表日時点での情報と異なる場合がありますので、あらかじめご了承いただくとともに、ご注意をお願いいたします。
NTTとともに未来を考えるWEBメディアです。