NECは11月9日、ネットワーク機器の真正性やセキュリティを確認できる「NEC サプライチェーンセキュリティマネジメント for ネットワーク(サービス版)」を発売した。2022年9月に発売したソフトウェア製品版の機能をクラウドサービス化(一部機能強化)したもので、税別希望小売り価格は年額350万円(対象機器100台の場合)から。17日に提供を始める。
同サービスは、NEC経由で販売する米Cisco Systems製のネットワーク機器(「Meraki」ブランドを除く)について、製品が工場出荷時に正しく製造されていることを証明する製造証跡情報をブロックチェーンで管理し、購入者がクラウド経由で製品が不正に改ざんなどされていない(真正性)かを確認できる。また、監視対象機器の脆弱(ぜいじゃく)性確認、ポリシー未適用機器の検出、イベント管理、ログイン管理/アラートなどのセキュリティ管理もできる。
サービスイメージ
NECは、2022年に「Cisco Trustworthy」技術を採用して、同社販売分のCisco製ネットワーク機器の真正性を確認する工程を導入し、同年9月に購入客でも確認できるソフトウェア版製品を発売した。NECでは、以前は、操作ログなどで本人確認や否認の防止を行っており、その運用負荷が課題だったとのこと。この仕組みを導入して、2023年度中にNECの国内約300拠点の社内ネットワーク機器の管理確認作業を約70%削減する予定だという。将来的に、監視できるネットワーク機器を拡充させたいという。
同社によると、海外ではネットワーク機器のハードウェアやソフトウェアが製造や流通の経路上で何者かによって改ざんされ、設置後に通信内容が盗聴されたり、ネットワーク経由で不正に侵入されたりするなどの被害が起きている。国内では、2023年度版の「政府統一基準群」でサプライチェーンセキュリティリスク対策として、製品の真正性確保が規定されるなどしている。
