NTTら国内外の情報通信およびIT系10社が2月16日、サプライチェーンセキュリティを推進する新団体「セキュリティ・トランスペアレンシー・コンソーシアム」を設立したと発表した。製品やシステム、サービスなどを「つくる側(開発や構築、提供)」が作成・提供した可視化データを利用する際に直面する問題について「つかう側(ユーザー)」からとりまとめ、その問題解決に取り組むという。
新団体には、アラクサラネットワークス、NRIセキュアテクノロジーズ、NTTデータグループ、FFRIセキュリティ、シスコシステムズ、東京エレクトロン、NEC、NTT、日立製作所、 三菱電機が参加する。またNTTでは、グループ企業のNTT東西、NTTドコモ、NTTコミュニケーションズ、NTTアドバンステクノロジ、NTTテクノクロスも新団体と連携する。
サプライチェーンセキュリティでは、特に企業・組織のビジネスで使用するITソフトウェアの脆弱(ぜいじゃく)性がサイバー攻撃などに悪用され、情報漏えいやシステムの問題発生がもたらすビジネス停止などの被害が顕在化する「ソフトウェアサプライチェーンセキュリティ」が大きな課題となっている。このためITソフトウェアを構成するプログラムやコンポーネントなどの状況を可視化、把握できるようにする「SBOM(ソフトウェア部品表)」などを活用し、脆弱性問題などが発覚した際に修正などの対処を迅速に行うことでセキュリティリスクの影響を抑止することが検討されている。
米国でサプライチェーンセキュリティへの対応を企業や組織に求める大統領令が発布され、SBOMを運用するための幾つかの標準化なども進められている。しかし、現代のソフトウェアは非常に構成が複雑化しており、SBOMを正確に運用するには「つくる側」に多大なコストが発生してしまうなどの問題が起きている。
このため新団体の参加各社は、SBOMなどの可視化データを「『つくる側』の視点にますますフォーカスしていくと、可視化データの生成に伴うコスト負担の問題のような『つくる側』の問題対処ばかりに偏重してしまう可能性がある。その結果、可視化データを現実的な範囲で作ることが目的化してしまい、可視化データが本来もたらすはずであった利点を損なう恐れがある」と指摘する。
新団体の設立では、可視化データについて「つかう側」の視点にも立った検討を行うことで、「つかう側」の用途にも即したデータ項目などの条件を見いだせるようになり、無駄な可視化データの生成を回避しやすくなるといったメリットがあるとする。新団体では、「つくる側」と「つかう側」の双方視点を取り入れることで可視化データの問題に対処し、サプライチェーンを通じたセキュリティの透明性の向上を図ることで、セキュリティリスクの抜本的な低減をめざすとしている。主に下記の活動テーマを掲げている。
- 社会浸透・認知の不足:「可視化データ」の価値を具体的に理解できないために、どう利用してよいかわからないなど
- フォーマット・データの未整備:「可視化データ」を統一的に扱うために「つかう側」の活用方針を定めなくてはいけないなど
- 技術・ツールの不足:膨大な「可視化データ」を扱うためには自動化が必要など
- 活用コストの負担:可視化データの導入がもたらす業務の変化に対応するため、担当者の教育や関連ツールの習熟を効率的に行える必要があるなど
- 継続的な活用:ソフトウェア更新時に正しい可視化データを継続的に入手する必要があるなど
- サプライチェーン上の調整:多段構成であるサプライチェーン上で「つくる側」と「つかう側」の相互共有のしくみが必要など
- 「可視化データ」がもたらす影響:可視化データの浸透によってセキュリティの透明性が高まると従来は見えておらず対処することがなかった事象についても対処が必要となるなど
- その他:「可視化データ」活用が従来の業務には含まれていないため、業務体制の見直しが必要になるなど
新団体では、協調的な取り組みを通じてSBOMなどの可視化データ活用をめぐる各種の問題に関する対処策を検討し、春以降にホワイトペーパー「可視化データ活用に関する知見集(仮称)」として順次公開していくことを目指すほか、さらなる企業などの参加も募集していくとしている。