NTTとNECは10月11日、「セキュリティ・トランスペアレンシー・コンソーシアム」の設立を発表した。サプライチェーンのセキュリティリスクに取り組み、まず8社が参画している。
同コンソーシアムは、製品やシステム、サービスなどの調達、保守運用に関するサプライチェーンにおけるサイバーセキュリティのリスクに対応する。近年は、サプライチェーンにおけるセキュリティ侵害の発生によって企業の事業が停止に追い込まれるなどの被害が度々発生している。このためサプライチェーンのITセキュリティの透明性の向上が必要とされるようになり、米国ではソフトウェアを構成するライブラリーなどの採用状況を示す「ソフトウェア部品表(SBOM)」への取り組みをソフトウェア開発企業などに求めるといった動向にある。
このコンソーシアムでは、NTTとNECが幹事事業者となり、アラクサラネットワークス、NTTデータグループ、FFRIセキュリティ、シスコシステムズ、日立製作所、三菱電機が参加する。NTTグループのNTT東日本、NTT西日本、NTTドコモ、NTTコミュニケーションズ、NTTアドバンステクノロジ、NTTテクノクロスもコンソーシアムと連携する。
NTTとNECは、SBOMなどの可視化においてデータの作成、提供では、サプライヤーのコスト負担を伴うことから、コストに見合うレベルの効果的な可視化データの活用が不可欠だと説明する。
コンソーシアムに参加するベンダーやシステムインテグレーター、セキュリティ企業らがそれぞれの知見やノウハウを共有することで可視化データの活用を目指す。具体的には、ソフトウェア構成などの可視化データにより透明性の高めていく上でのセキュリティ運用などを対象として課題の分析、解決策の検討、実証を行う。また、特定の業種や分野に限定しない多様な事業者の参加により、可視化データの提供側と利用側を含む広い視点からの検討も行うという。
コンソーシアムでは、こうした検討などの成果をホワイトペーパーとして公表し、多様な企業によるサプライチェーンセキュリティへの取り組みの拡大を目指す。また、「可視化データ活用に関するベストプラクティス集(仮称)」としても公表を予定している。
