サプライチェーンセキュリティリスク対応等の社会課題の解決に協調して取り組む「セキュリティ・トランスペアレンシー・コンソーシアム」を設立
1.背景
近年、製品・システム・サービス等が、その調達及び保守・運用に関するサプライチェーンを通じてセキュリティ侵害を受ける「サプライチェーンセキュリティリスク」が顕在化しています。日本国内では、経済安全保障推進法の公布を契機に当該リスクに対する関心や対応ニーズが高まっています。また、世界各国ではソフトウェア部品を一覧化する標準データ形式であるSBOMフォーマット(※1)に基づいて、ソフトウェア構成に関する「可視化データ」の作成及び提供を、サプライチェーンを形成する各事業者に求める動きが活発化しています。
2.設立趣旨及び取組内容
可視化データの作成及び提供は製品等のサプライヤ事業者におけるコスト負担を伴うことから、当該コストに見合うレベルの効果的な可視化データの活用が不可欠です。また、効果的な活用は可視化データの作成及び提供を促し、活用シーンのさらなる拡大を生む好循環につながるものと考えられます。
そこで、サプライチェーンを形成する多様な事業者(製品ベンダ、システムインテグレータ、セキュリティベンダ、製品・システム・サービスを利用・運用する事業者等)が協調し、可視化データの活用促進に資する「知見の共創」に取り組むため、「セキュリティ・トランスペアレンシー・コンソーシアム」を発足しました。可視化データの作成及び提供を促進するとともに、各社が持つ知見やノウハウを共有することによって、活用シーンのさらなる拡大をめざします。
本コンソーシアムでは、可視化データの活用シーン及び活用手法について広く具現化に取り組みます。具体的には、ソフトウェア構成等の可視化データによって高まる透明性の活用について、セキュリティ運用等を対象として課題分析、解決策の検討、及び実証等を行います。また、特定の業種や分野に限定しない多様な事業者の参加によって、可視化データの「提供側」及び「利用側」の両者を含む広い視点から検討を行います。さらに、検討成果の公開を通じて、サプライチェーンセキュリティリスク対応等の社会課題解決への貢献をめざし、将来的にはそれらの取り組みに資するコミュニティ活動や政府関係機関等との連携も推進します。
3.参加事業者 (50音順、2023年10月11日現在)
本コンソーシアムの発足時の参加事業者は以下のとおりです。幹事事業者をNTT及びNECが担当します。さらなる参加事業者の募集をウェブサイト(※2)にて開始します。
アラクサラネットワークス株式会社
株式会社NTTデータグループ
株式会社FFRIセキュリティ
シスコシステムズ合同会社
日本電気株式会社
日本電信電話株式会社(※3)
株式会社日立製作所
三菱電機株式会社
4.今後の展開
本取り組みの詳細(構想・計画等)をまとめたホワイトペーパーの公表等を通じて、事業者の拡大に取り組みます。また、可視化データの活用に関する課題分析、解決策の検討、及び実証等を進め、その成果を「可視化データ活用に関するベストプラクティス集(仮称)」として公表予定です。
<用語解説>
※1
Software Bill of Materials、製品に含まれるソフトウェア部品を一覧化するためのデータ形式
URL:https://www.ntia.gov/
※2
セキュリティ・トランスペアレンシー・コンソーシアムウェブサイト
URL:https://www.st-consortium.org
※3
日本電信電話株式会社が代表参加を通じて以下のNTTグループ各社も本コンソーシアムと連携します。
東日本電信電話株式会社(本社:東京都新宿区、代表取締役社長:澁谷 直樹)、
西日本電信電話株式会社(本社:大阪府大阪市都島区、代表取締役社長:森林 正彰)、
株式会社NTTドコモ(本社:東京都千代田区、代表取締役社長:井伊 基之)、
NTTコミュニケーションズ株式会社(本社:東京都千代田区、代表取締役社長:丸岡 亨)、
NTTアドバンステクノロジ株式会社(本社:東京都新宿区、代表取締役社長:伊東 匡)、
NTTテクノクロス株式会社(本社:東京都港区、代表取締役社長:岡 敦子)