NTTとNEC、情報通信機器のサプライチェーンセキュリティリスクを低減する技術のフィールド実証を開始

　日本電信電話株式会社（以下、NTT）と日本電気株式会社（以下、NEC）は9日、サプライチェーンのセキュリティリスクを低減する「セキュリティトランスペアレンシー確保技術」に関して、事業適用を目指したフィールド実証を11月に開始すると発表した。

　セキュリティトランスペアレンシー確保技術は、情報通信サービスや情報通信システム、およびそれらを形成する機器の「構成」「リスク」に関する可視化データを生成、活用することで、セキュリティの透明性を確保する技術。NTTとNECは同技術を2021年10月に開発し、その高度化に取り組んできた。

　技術は、機器・システムなどのソフトウェア構成を可視化する構成分析技術（NTT）と、機器内部のソフトウェアの不正機能による脅威を検出するバックドア検査技術（NEC）、情報通信システムにおける攻撃ルートを可視化するサイバー攻撃リスク自動診断技術（NEC）により構成される。

　生成・活用する可視化データについて、世界各国で注目を集めるSBOMフォーマットを採用。これにより、ソフトウェア構成に関わる情報の管理や活用に、SBOMフォーマットに対応した各種ツール・システムの利用を可能とした。さらに、技術は、実運用上の重要な課題となる「可視化データの情報量と品質の強化」および「活用性の向上」を図る独自機能を備え、SBOM起点のさまざまなセキュリティオペレーションの高度化にも貢献するとしている。

　NTTグループとNECは、同技術のIOWNを含む事業適用を目指したフィールド実証を、11月に開始する。具体的には、各社保有の情報通信サービスや情報通信システム、およびそれらを形成する機器の「構成」「リスク」に関する可視化データを、技術によって生成、活用可能にする運用方法の検討と実証に取り組む。この実証を通じて、機器やシステムの調達、運用、サービス提供等のさまざまな事業シーンにおける、技術の実運用方法の確立と評価、課題抽出による技術開発へのフィードバックを行い、技術のさらなる熟成を図るとしている。

　今後は、セキュリティトランスペアレンシー確保技術の活用を通じて、機器ベンダー、システムインテグレーター、機器・システムのユーザー事業者、セキュリティベンダーなど、さまざまな企業や組織が協調してサプライチェーンセキュリティリスク対応に取り組むことを目的とする「セキュリティ・トランスペアレンシー・コンソーシアム」の設立を準備していると説明。コンソーシアムは2023年度上期の設立を目指し、広く参加企業・組織などの募集を始める。