[市場動向]
「セキュリティ・トランスペアレンシー・コンソーシアム」が発足、製品サプライチェーン全体のリスクに対処
2023年10月12日(木)IT Leaders編集部
NTTとNECは2023年10月11日、業界団体「セキュリティ・トランスペアレンシー・コンソーシアム」を発足したと発表した。製品・サービスなどにおけるセキュリティの透明性を高めて、セキュリティリスクへの対処など社会課題の解決に貢献するとしている。
「セキュリティ・トランスペアレンシー・コンソーシアム」は、製品・システム・サービスなどの調達・保守・運用におけるセキュリティの透明性を高めてセキュリティリスクの低減を図ることを目的とする業界団体である。
コンソーシアム発足時の参加事業者は、アラクサラネットワークス、NEC、NTT、NTTデータグループ、FFRIセキュリティ、シスコシステムズ、日立製作所、三菱電機。幹事事業者はNTTとNECで、参加事業者の募集をWebサイトで行う。
設立の背景としてNTTとNECは、製品・システム・サービスなどが、調達・保守・運用に関するサプライチェーンを通じてセキュリティ侵害を受ける「サプライチェーンセキュリティリスク」の問題が顕在化していることを挙げる。
「国内では経済安全保障推進法の公布を契機に同リスクに対する関心が高まっている。海外ではソフトウェア部品を一覧化する標準データ形式であるSBOM(Software Bill of Materials:ソフトウェア部品表、エスボム)フォーマットに基づいて、ソフトウェア構成に関する可視化データの作成・提供を、サプライチェーンを形成する各事業者に求める動きが活発化している」(両社)。可視化データの作成・提供は製品などのサプライヤーにおけるコスト負担を伴うことから、当該コストに見合うレベルの効果的な可視化データの活用が不可欠であると説明している。
こうした状況の下、サプライチェーンを形成する事業者(製品・サービスベンダー/SIer、セキュリティベンダーおよびユーザー)が協調して可視化データの活用を促進する「知見の共創」に取り組むため、同コンソーシアムを発足したという。
活動を通じて可視化データの活用シーン/手法についての広範な具現化に取り組む。例として以下を挙げている。
- ソフトウェア構成の可視化データによって高まる透明性の活用について、セキュリティ運用を対象に課題分析、解決策の検討・実証を行う。
- 特定の業種や分野に限定しない事業者の参加によって、可視化データの提供側と利用側の双方を含めて広い視点から検討する。
- 検討・実証成果の公開を通じて、社会課題の解決に貢献する。
今後、取り組みの構想・計画をまとめたホワイトペーパーの公表などを通じて、参加事業者の拡大に努めるとしている。また、可視化データの活用に関する課題分析、解決策の検討・実証などを進め、成果を「可視化データ活用に関するベストプラクティス集(仮称)」として公表する予定である。