[市場動向]
NTTとNEC、サプライチェーンのセキュリティリスクを低減する技術についてフィールド実証を開始
2022年11月9日(水)日川 佳三(IT Leaders編集部)
NTTとNECは2022年11月9日、サプライチェーンセキュリティリスク低減技術「セキュリティトランスペアレンシー確保技術」のフィールド実証を同月に開始すると発表した。情報インフラを構成するソフトウェアの情報やリスクをサプライチェーン全体で共有し、セキュリティに関する透明性を確保することが狙いである。2023年度上期には、ベンダーやユーザー企業などが参加するオープンコンソーシアムの設立を予定している。
NTTとNECは2022年11月、サプライチェーンのセキュリティリスクを低減する技術「セキュリティトランスペアレンシー確保技術」のフィールド実証を開始する。情報インフラを構成するソフトウェアの情報やリスクを、サプライチェーン全体で共有する技術である。
同技術は、大きく3つの仕組みで構成する。(1)機器やシステムのソフトウェア構成をSBOM(Software Bill of Materials:ソフトウェア部品表、エスボム)形式で可視化する構成分析技術(NTT)、(2)機器内部のソフトウェアの不正機能による脅威を検出するバックドア検査技術(NEC)、(3)情報通信システムにおける攻撃ルートを可視化するサイバー攻撃リスク自動診断技術(NEC)である。
実証では、NTTとNECが持つ情報通信サービスと情報通信システム、およびこれらを形成する機器を対象に、これらの「構成」と「リスク」を、同技術を使って可視化して活用する方法を検討する。機器の調達、運用、サービス提供など、各種の事業シーンにおける同技術の運用方法を確立する。課題を抽出してフィードバックし、同技術の熟成を図る。
今後は、機器ベンダー、SIベンダー、ユーザー企業、セキュリティベンダーなどが同技術の活用を通じてサプライチェーンのセキュリティリスクに取り組む「セキュリティ・トランスペアレンシー・コンソーシアム」の設立を準備している。2023年度上期の設立を目指し、広く参加企業や組織を募集する。
取り組みの背景として両社は、機器やシステムの調達と保守・運用に関し、サプライチェーンを介して製品やサービスがセキュリティ侵害を受けるリスクが顕在化していることを挙げる。「国内では、経済安全保障推進法の公布を契機に、当該リスクに対する関心や対応ニーズが高まっている。こうした状況の下でNTTとNECは、セキュリティトランスペアレンシー確保技術を2021年10月に開発し、高度化に取り組んできた」という。
