IT系・情報通信系ベンダー10社は2月16日、ソフトウェア部品表(SBOM)の可視化によるサプライチェーンセキュリティを推進する「セキュリティ・トランスペアレンシー・コンソーシアム」を設立した、と発表した。
設立時の参加企業は以下の10社。会長には情報セキュリティ大学院大学の後藤厚宏氏が就任した。
・アラクサラネットワークス株式会社
・NRIセキュアテクノロジーズ株式会社
・株式会社NTTデータグループ
・株式会社FFRIセキュリティ
・シスコシステムズ合同会社
・東京エレクトロン株式会社
・日本電気株式会社
・日本電信電話株式会社
・株式会社日立製作所
・三菱電機株式会社
設立の背景として同コンソーシアムは、「私たちが利用しているシステムやサービスは、さまざまなハードウェアやソフトウェアによって構成されています。これらは、国内外に広がる多様なサプライチェーンにおけるさまざまな環境を通じて生み出され、そして利用されています。特に、製品開発は分業化が進んでおり、製品の内部構成をすみずみまで把握することは非常に困難になっています。その結果、内在するサイバーセキュリティリスクを把握することの難易度は上がり、システムの安全な運用管理を求められる事業者の悩みは増すばかりです」とし、最近のオープンソースソフトウェア「ApacheLog4j」の脆弱性による甚大な被害の広がりを挙げ、ソフトウェア部品表を可視化する必要性について述べている。
活動のゴールは、「SBOMなどの可視化データの活用を通じて、サプライチェーン全体にわたってシステム構成の透明性を高め、自組織のみでは対応が難しいサプライチェーンセキュリティリスクの抜本的な低減をめざす」こと。そのために、可視化データを「つくる側」と「つかう側」のそれぞれによる取り組みが必要としている。
主な活動内容は以下のとおり。
(A)可視化データに関する技術的知見の共創
・可視化データを「つかう側」の視点から、可視化データ活用に関する問題・課題の分析を行う。
・可視化データの「つくる側」と「つかう側」の両者の協調によって効果的に実践可能な対処策を具体化する。
・セキュリティ運用などを対象として参加事業者が持つ知見やノウハウを共有し、課題分析、解決策の検討、および実証などを行う。
・検討成果について、有用な知見から順次公表する。
(B)コミュニティ形成
・(A)の取り組みを進めるために、可視化データの「つくる側」と「つかう側」の両者について参加事業者の参加勧奨を行い、参加事業者の拡大を図る。
・特定の業種や分野に限定しない多様な事業者の参加を募ることで、可視化データの「つかう側」と「つくる側」の両者を含む広い視点から検討する。
・会員間の共通問題・共通課題認識を選定し、共に協調して問題・課題の対処に取り組む場を構築する。
(C)外部連携
・連携することが望ましい他機関・団体を選定し、関係構築のための働きかけや調整を行う。
・政府機関と官民による相補的かつ効果的な連携を行う。
・セキュリティ・トランスペアレンシー・コンソーシアム
https://www.st-consortium.org/
・活動ビジョン
https://www.st-consortium.org/?p=1097
[i Magazine・IS magazine]