NRIセキュア、経済安全保障に不可欠なリスク対策を総合的に支援する「サプライチェーントラストサービス」を提供開始

サイバーレジリエンス、ソフトウェアサプライチェーンのリスク対策を強化

NRIセキュアテクノロジーズ株式会社

2023-12-20 11:00

NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:建脇 俊一、以下「NRIセキュア」)は、従来提供してきたサプライチェーン関連のセキュリティ対策サービスを刷新し、サイバーレジリエンス[i](サイバー攻撃への耐性)・ソフトウェアサプライチェーン[ii]の領域におけるリスク対策を総合的に支援する、「サプライチェーン[iii]トラストサービス(以下「本サービス」)」の提供を、本日開始します。
■企業を取り巻くリスクが多様化
デジタル社会の進展に伴うアタックサーフェス(攻撃対象領域)の拡大や、経済安全保障推進法[iv](以下「経済安保推進法」)の成立により、企業や団体では高度なリスク対応が求められてきています。特に、重要インフラを担う企業等にとって大きな負担となっているのは、自社のシステムの維持管理やセキュリティ対策といった従来の対応に加えて、ランサムウェアに感染した場合等、不正な妨害の発生時においても、経済安保推進法で定められる「基幹インフラ役務の安定的な提供の確保」を継続できるよう、特定重要設備[v]・重要維持管理等[vi]に係る委託先を含めたサプライチェーン全体のセキュリティ対策を実施しなければならないことです。

■本サービスの概要
本サービスは、経済安保推進法に基づく特定重要設備の「導入及び維持管理のため事前審査対応」やリスク評価だけでなく、セキュアソフトウェア開発におけるセキュリティ対応(例:不正プログラム検出・不正コミット監視・ソフトウェア脆弱性管理・DevSecOps[vii]実行・シフトレフト[viii]実行)、サイバー攻撃にも対応したBCP(事業継続計画)策定、パートナー管理強化等のリスク管理措置、リスク管理態勢整備(脅威の内部侵入を防ぐだけでなく、内部侵入後の被害最小化対策を含めたサイバー攻撃耐性を評価)等のメニューから構成されます(表を参照)。

表:「サプライチェーントラストサービス」における支援メニューの概要

本サービスの対象は、主務省庁が指定した「特定社会基盤事業者」に該当する企業の他、その特定重要設備等の供給者、委託先である設備供給者・維持管理者、ソフトウェアサプライチェーンのセキュリティリスク対応が求められるグローバル企業や金融機関等も含まれます。

このたびのサービス提供開始に先立ち、NRIグループの一部組織で本サービスを先行導入し、サービス品質の検証を重ねました。実践的かつ高度な知見に裏付けされた本サービスを活用することで、サプライチェーン全体のリスク管理基盤の強化を実現できます。

NRIセキュアは今後も、サプライチェーントラストサービスをはじめとするセキュリティ向上に向けた支援やソリューションの提供を通して、安全・安心な情報システム環境と社会の実現に貢献していきます。

■ご参考
経済安保推進法「第3章:基幹インフラ役務の安定的な提供の確保」に求められる対策の例

【拡充予定の支援メニューについて】
・ソフトウェアサプライチェーン対応状況評価
ソフトウェアサプライチェーンにおけるリスク対策状況について、ソフトウェアライフサイクル(調達・開発・リリース・運用・共通の5工程)を分類し、各工程の対策状況を評価します。評価結果をレポートとして提出し、お客さまの要望に応じて対応計画の作成まで支援します。

・SBOM導入支援
ソフトウェアサプライチェーンにおけるリスクに対する有効な対策手段として近年注目を集めるSBOM(Software Bill of Materials、ソフトウェア部品表)の導入を支援します。導入の計画作成から製品・サービスの開発・運用プロセスへの導入の実施まで幅広い支援を提供します。

このプレスリリースの付帯情報

用語解説

[i] サイバーレジリエンス:侵入を防ぐだけではなく、侵入を前提に被害を最小化する対策も含めたサイバー攻撃への耐性を指します。
[ii] ソフトウェアサプライチェーン:ソフトウェア開発ライフサイクル(Software Development Life Cycle:SDLC)において、ソフトウェアが提供されるまでの、各種要素や依存関係を含めた一連の流れを指します。
[iii] サプライチェーン:本サービスにおいて、ソフトウェアサプライチェーン及び委託先サプライチェーンの両方を包含した意味で用いています。
[iv] 経済安全保障推進法:国際情勢の複雑化、社会経済構造の変化等に伴い、安全保障の確保を推進するために制定された法律です。法制上の手当てが必要な喫緊の課題に対応するため、(1)重要物資の安定的な供給の確保、(2)基幹インフラ役務の安定的な提供の確保、(3)先端的な重要技術の開発支援、(4)特許出願の非公開に関する4つの制度を創設しています。(出所:経済産業省『経済安全保障政策』 (リンク ») )
[v] 特定重要設備:主務省令が定める、我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為の手段として使用されるおそれのあるものを指します。特定重要設備の機能が停止または低下すると、役務の安定的な提供に支障が生じ、国家及び国民の安全を損なう事態を生ずるおそれがあります。(参考:内閣府『経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説』 (リンク ») )
[vi] 重要維持管理:特定重要設備の信頼性向上のために実施すべき、障害及び不正使用・破壊・盗難等を防止する対応のことです。(参考:金融庁『金融分野における経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説』 (リンク ») )
[vii] DevSecOps:情報システムにおいて、開発(Development)と運用(Operations)が密に連携することで開発にかかる期間を短縮しリリース頻度を高める「DevOps」に、セキュリティ(Security)も融合させることで、セキュリティを確保しつつ、開発スピードを損なわない開発手法を指します。
[viii] シフトレフト:システム開発の流れ(企画、設計、実装、テスト、リリース)の中で、早い段階でセキュリティ対策を組み込むという考え方です。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]