NECは2025年7月10日、ネットワーク機器向け真正性管理ソフトウェア「NEC サプライチェーンセキュリティマネジメント for ネットワーク」をバージョンアップした。新版では、必要なアラートをAIで絞り込む機能と、対処すべき脆弱性に優先順位を付ける機能を追加した。SaaS版とパッケージソフトウェア版があり、まずはSaaS版から提供する。料金(税別)は、管理対象機器100台の場合に年額350万円から。
NECの「NEC サプライチェーンセキュリティマネジメント for ネットワーク」は、ネットワーク機器の製造から出荷、ユーザー企業のIT環境における構築、運用保守、廃棄に至る製品サプライチェーンのセキュリティを管理するソフトウェアである。ネットワーク機器の真正性(メーカーが設計・製造した状態から意図せず改変されていないこと)を管理する。
図1:ネットワーク機器真正性管理ソフトウェア「NEC サプライチェーンセキュリティマネジメント for ネットワーク」の概要(出典:NEC)拡大画像表示
製品出荷前、構築時、運用中のすべての工程で、ネットワーク機器のハードウェアやファームウェアに変更が加えられていないかをチェックし、可視化する。この仕組みにより、ネットワーク機器を提供するベンダー/サービス事業者からユーザー企業に及ぶ製品サプライチェーンセキュリティの強化を支援する(関連記事:NEC、ネットワーク機器提供の全工程で真正性を管理するサプライチェーンセキュリティ製品にSaaS版を追加)。
新版では、必要なアラートをAIで絞り込む機能と、対処すべき脆弱性に優先順位を付ける機能が加わった。
アラートをAIで絞り込む機能では、独自のAI技術によって、収集したネットワーク機器のログデータから運用者の行動を学習・分析し、監視すべき項目を自動抽出する。運用管理者が目視で確認するアラートの量を従来比で最大約90%削減するという。
絞り込み機能により、属人的な選択で生じていた不正アクセスの発見漏れを防ぐ。また、ルールの定義が難しい「普段と異なる」事象についても、AIが異常なログインや操作を検知してアラートを出すことができる。
対処すべき脆弱性に優先順位を付ける機能には、脆弱性の深刻度を評価し、対応の優先順位を決定するためのフレームワーク「SSVC(Stakeholder-Specific Vulnerability Categorization)」を用いる。ユーザー企業のネットワーク環境特性に合わせ、影響度を踏まえて脆弱性の優先度を自動分類し、対処するタイミングを行動指針として表示する。
この機能を利用することで、人手による分析作業を減らし、優先して対処しなければならない脆弱性を絞り込める。NEC社内の検証では、優先的に対処すべき脆弱性の数を従来の手法に比べて60%程度に抑えられたという。
SaaS版とパッケージソフトウェア版があり、まずはSaaS版から提供する。料金(税別)は、管理対象機器100台の場合に年額350万円から。
