NECは2023年11月9日、IT機器の提供管理サービス「NECサプライチェーンセキュリティマネジメント for ネットワーク」にSaaS版を追加すると発表した。製品出荷前から構築、運用に至る全工程で、ネットワーク機器のハードウェアやファームウェアに変更が加えられていないかを検査・可視化する。2022年9月からオンプレミスソフトウェア版を提供し、今回、SaaS版を追加した。価格(税別)は管理対象ネットワーク機器100台で年額350万円から。販売目標は5年間で管理対象3万台。
NECの「NECサプライチェーンセキュリティマネジメント for ネットワーク」は、ネットワーク機器の真正性(メーカーが設計・製造した状態から意図せず改変されていないこと)を管理するサービスである。製品出荷前、構築時、運用中の全工程で、ネットワーク機器のハードウェアやファームウェアに変更が加えられていないかを検査・可視化する(図1、関連記事:NEC、ネットワーク機器の真正性を出荷から運用まで管理・可視化するサービスを提供)。
図1:ネットワーク機器の真正性を管理するサービス「NECサプライチェーンセキュリティマネジメント for ネットワーク」の概要(出典:NEC)拡大画像表示
NECは2022年から、工場出荷時にシスコシステムズ製ネットワーク機器の真正性を確認・監視・管理する仕組みを提供している。シスコ製品に備わる不正検知技術(機器固有IDやデジタル署名など複数の要素を用いてハードウェアとソフトウェアの両面から機器の真正性を確認)を活用し、ブロックチェーン技術と組み合わせて真正性管理に取り組んできた(関連記事:NECとシスコ、重要インフラ向けにネットワーク機器の真正性をチェックできる仕組みを提供)。
同年9月には、真正性管理のタイミングを拡大し、機器の出荷時に加えて、ネットワークシステムの構築時および運用時へと範囲を広げた「NECサプライチェーンセキュリティマネジメント for ネットワーク」のソフトウェア版をリリース。今回、そのSaaS版「同(サービス版)」を追加した。
SaaS版には、ソフトウェア版が備えていない機能が加わった。悪意ある変更や内部不正を抑止する機能として、ログイン監視機能と操作履歴表示機能を追加した。加えて、設定したセキュリティポリシーに未準拠の機器を検出するセキュリティ設定チェック機能を追加した。これらはソフトウェア版にも追加する予定である。
NECは2022年度からの同ツールの検証を経て、社内への展開を進めている。不正ログインや内部不正の対策として、操作ログなどを用いて本人確認などを行っていたが、運用負荷が課題だったという。同ツールの導入により、社内ネットワークの機器管理を自動化・効率化し、2023年度中に国内約300拠点の機器管理確認作業を約70%削減する見込みである。この検証で得られた知見を同ツールの新機能に反映したという。
