NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:建脇 俊一、以下「NRIセキュア」)は、従来提供してきたサプライチェーン関連のセキュリティ対策サービスを刷新し、サイバーレジリエンス[1](サイバー攻撃への耐性)・ソフトウェアサプライチェーン[2]の領域におけるリスク対策を総合的に支援する、「サプライチェーン[3]トラストサービス(以下「本サービス」)」の提供を、本日開始します。
■ 企業を取り巻くリスクが多様化
デジタル社会の進展に伴うアタックサーフェス(攻撃対象領域)の拡大や、経済安全保障推進法[4](以下「経済安保推進法」)の成立により、企業や団体では高度なリスク対応が求められてきています。特に、重要インフラを担う企業等にとって大きな負担となっているのは、自社のシステムの維持管理やセキュリティ対策といった従来の対応に加えて、ランサムウェアに感染した場合等、不正な妨害の発生時においても、経済安保推進法で定められる「基幹インフラ役務の安定的な提供の確保」を継続できるよう、特定重要設備[5]・重要維持管理等[6]に係る委託先を含めたサプライチェーン全体のセキュリティ対策を実施しなければならないことです。
■ 本サービスの概要
本サービスは、経済安保推進法に基づく特定重要設備の「導入及び維持管理のため事前審査対応」やリスク評価だけでなく、セキュアソフトウェア開発におけるセキュリティ対応(例:不正プログラム検出・不正コミット監視・ソフトウェア脆弱性管理・DevSecOps[7]実行・シフトレフト[8]実行)、サイバー攻撃にも対応したBCP(事業継続計画)策定、パートナー管理強化等のリスク管理措置、リスク管理態勢整備(脅威の内部侵入を防ぐだけでなく、内部侵入後の被害最小化対策を含めたサイバー攻撃耐性を評価)等のメニューから構成されます(表を参照)。
表:「サプライチェーントラストサービス」における支援メニューの概要
本サービスの対象は、主務省庁が指定した「特定社会基盤事業者」に該当する企業の他、その特定重要設備等の供給者、委託先である設備供給者・維持管理者、ソフトウェアサプライチェーンのセキュリティリスク対応が求められるグローバル企業や金融機関等も含まれます。
このたびのサービス提供開始に先立ち、NRIグループの一部組織で本サービスを先行導入し、サービス品質の検証を重ねました。実践的かつ高度な知見に裏付けされた本サービスを活用することで、サプライチェーン全体のリスク管理基盤の強化を実現できます。
NRIセキュアは今後も、サプライチェーントラストサービスをはじめとするセキュリティ向上に向けた支援やソリューションの提供を通して、安全・安心な情報システム環境と社会の実現に貢献していきます。
[1] サイバーレジリエンス:侵入を防ぐだけではなく、侵入を前提に被害を最小化する対策も含めたサイバー攻撃への耐性を指します。
[2] ソフトウェアサプライチェーン:ソフトウェア開発ライフサイクル(Software Development Life Cycle:SDLC)において、ソフトウェアが提供されるまでの、各種要素や依存関係を含めた一連の流れを指します。
[3] サプライチェーン:本サービスにおいて、ソフトウェアサプライチェーン及び委託先サプライチェーンの両方を包含した意味で用いています。
[4] 経済安全保障推進法:国際情勢の複雑化、社会経済構造の変化等に伴い、安全保障の確保を推進するために制定された法律です。法制上の手当てが必要な喫緊の課題に対応するため、(1)重要物資の安定的な供給の確保、(2)基幹インフラ役務の安定的な提供の確保、(3)先端的な重要技術の開発支援、(4)特許出願の非公開に関する4つの制度を創設しています。(出所:経済産業省『経済安全保障政策』https://www.meti.go.jp/policy/economy/economic_security/index.html)
[5] 特定重要設備:主務省令が定める、我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為の手段として使用されるおそれのあるものを指します。特定重要設備の機能が停止または低下すると、役務の安定的な提供に支障が生じ、国家及び国民の安全を損なう事態を生ずるおそれがあります。(参考:内閣府『経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説』https://www.cao.go.jp/keizai_anzen_hosho/doc/infra_kaisetsu.pdf)
[6] 重要維持管理:特定重要設備の信頼性向上のために実施すべき、障害及び不正使用・破壊・盗難等を防止する対応のことです。(参考:金融庁『金融分野における経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説』https://www.fsa.go.jp/news/r5/economicsecurity/infra_kaisetsu_financesector.pdf)
[7] DevSecOps:情報システムにおいて、開発(Development)と運用(Operations)が密に連携することで開発にかかる期間を短縮しリリース頻度を高める「DevOps」に、セキュリティ(Security)も融合させることで、セキュリティを確保しつつ、開発スピードを損なわない開発手法を指します。
[8] シフトレフト:システム開発の流れ(企画、設計、実装、テスト、リリース)の中で、早い段階でセキュリティ対策を組み込むという考え方です。
【ご参考】
■ 経済安保推進法「第3章:基幹インフラ役務の安定的な提供の確保」に求められる対策の例
■ 拡充予定の支援メニューについて
ソフトウェアサプライチェーン対応状況評価
ソフトウェアサプライチェーンにおけるリスク対策状況について、ソフトウェアライフサイクル(調達・開発・リリース・運用・共通の5工程)を分類し、各工程の対策状況を評価します。評価結果をレポートとして提出し、お客さまの要望に応じて対応計画の作成まで支援します。
SBOM導入支援
ソフトウェアサプライチェーンにおけるリスクに対する有効な対策手段として近年注目を集めるSBOM(Software Bill of Materials、ソフトウェア部品表)の導入を支援します。導入の計画作成から製品・サービスの開発・運用プロセスへの導入の実施まで幅広い支援を提供します。
配信元企業:NRIセキュアテクノロジーズ株式会社
コメント