デロイト トーマツ グループのデロイト トーマツ サイバー合同会社（東京都千代田区、代表執行者：桐原祐一郎、以下DTCY）は、この度、スマート家電を含むIoT製品の製品ライフサイクルに渡ってセキュリティ対策の危殆化や脆弱性の監視を自動化し、対策を支援するサービスを開発しました。

IoT製品を取扱う企業は、製造物責任（PL法）を果たすために、製品安全（セーフティ）と同様にセキュリティ対策においても説明責任が求められます。特に、セキュリティは販売した後も危殆化や脆弱性が発見されるたびに対策を行うことが必要であり、近年はソフトウェアの脆弱性を狙ったサイバー攻撃による被害の増加など高まるサイバーリスクを背景に、ソフトウェアに含まれるオープンソースやライブラリなどを部品と捉えて、ソフトウェア部品表（SBOM：Software Bill Of Materials）として管理することを行政も要求しはじめています。

さらにIoT製品ではソフトウェアに加えて、ハードウェアなどのセキュリティ対策の危殆化や脆弱性を監視する必要があることから、DTCYでは製品ライフサイクル全体を通したセキュリティ対策を部品表（セキュアBOM：Serure Bill Of Materials）として管理することを提唱しています。これらはIoT製品を製造する企業のみならず、IoT製品に付加価値をつけて提供する企業にも求められる一方で、経年で管理するには作業が煩雑なうえ見逃してしまう恐れや、専門知識が求められるという課題があります。


DTCYが新たに提供を開始するサービスは、企業のこうした課題に対応し、IoT製品の企画・設計段階でのセキュリティ機能の組み込み（Security by Design）に加え、製品ライフサイクル全体にわたるセキュリティの確保までを包含するものです。具体的には、次のようなサービスを提供することを通じて、企業のセキュリティレベル向上やインシデント発生時の対応を行う組織であるPSIRT（Product Security Incident Response Team）を支援します。

• 危殆化・脆弱性の監視

クライアント企業のIoT製品の企画・開発段階でソフトウェアならびにハードウェアの部品表（セキュアBOM）を登録。危殆化情報やインターネットなどで日々アップデートされる脆弱性情報に該当があると自動的に検知し、アラートを通知。
危殆化や脆弱性の対策は、ワークフローで関連部門が連携して対処するための機能を提供します。

• プロセス監査

製造・運用・保守において、セキュリティ対策がガイドライン通りに実施されることを定期的に確認した結果を記録に残し、ダッシュボードで実施状況やガイドラインの実行確認結果を可視化。


DTCYでは、SBOM管理ソリューション以外にも、製品の企画・設計からテスト、製造、PSIRT構築、教育まで、製品セキュリティ関連の企業の態勢強化に向けたサービスを幅広く提供しています。