[新製品・サービス]

2026年6月17日(水)日川 佳三、河原 潤（IT Leaders編集部）

シェアする

リスト

　サイバートラストは、重要インフラ事業者がAI時代にあってもITインフラを安全かつ継続的に運用管理できる基盤の実現を目指し、「AI時代の重要インフラサプライチェーン向けトラスト基盤構想」を発表した。同社が提供してきたプラットフォームサービス（ソフトウェアの透明性）とトラストサービス（データの真正性）の知見を融合させる。

　「OSS適合証明サービス」は、重要インフラにおいてOSSを安全かつ継続的に運用することを支援するサービスである。SBOMおよびその他のOSS構成情報を基に、「利用してよいOSS」「追加審査が必要なOSS」「利用を避けるべきOSS」「例外的に許容するOSS」を判断し、判断の根拠と共に示す。

　背景として同社は、ソフトウェア開発・運用におけるAI活用の広がりを挙げる。「コード生成やOSSの追加・修正などでAIが利用される一方、重要インフラではそれらをそのまま利用することはできず、ソフトウェアの構成、OSSの出所や保守状況、脆弱性対応の判断根拠などを継続的に確認・説明できる運用が求められる」（同社）。また、2026年3月に経済産業省などが策定したガイドラインにおいて、サプライチェーン全体でのセキュリティ確保が求められていることも踏まえている。

　同構想に基づく最初の取り組みとして、米Dark Sky Technologyと協業し、重要ITシステムおよび組み込み製品向けに「OSS適合証明サービス」を2026年9月以降に順次提供する。Dark Skyのソフトウェアサプライチェーンセキュリティプラットフォーム「Bulletproof Trust」（画面1）と、サイバートラストが持つLinux/OSS長期保守やSBOM運用の知見を組み合わせる。

画面1：ソフトウェアサプライチェーンセキュリティプラットフォーム「Bulletproof Trust」の画面例（出典：米Dark Sky Technology）
拡大画像表示

　OSS適合証明サービスは、単にSBOMを作成するだけでなく、利用前・利用中・脆弱性発生時にOSSの利用可否や対応方針を判断し、その根拠を説明できる状態での運用を支援する。具体的には以下の支援を提供する。

• OSS受入基準・運用ポリシーの整備
• SBOMおよびOSS構成情報の評価
• OSSの保守状況、脆弱性、ライセンス、開発コミュニティリスクの確認
• 脆弱性対応の優先度整理
• 例外判断、利用継続判断の根拠整理
• 監査・顧客説明向けレポート作成支援

　サ今後の展開として、重要ITシステム向けには既存の開発・運用環境を前提にOSS受入評価や監査説明支援から開始し、必要に応じて自動化への拡張を検討する。組み込み製品向けには、同社の組み込みLinux OS「EMLinux」などとの連携を視野に入れ、開発・運用プロセスに関わる情報管理への拡張を検討していくとしている。