サイバートラスト、重要ITシステムおよび組み込み製品向けに「OSS適合証明サービス」を9月以降に提供

　サイバートラスト株式会社は16日、AI時代における重要インフラのITインフラ運用を支える「AI時代の重要インフラサプライチェーン向けトラスト基盤構想」を発表した。

　同構想は、AIの信頼性はソフトウェアの透明性（プラットフォームサービス）とデータの真正性（トラストサービス）により高められるという考えのもと、サイバートラストが提供してきた2つの主要サービスを融合させ、重要インフラ事業者がAI時代にあっても ITインフラを安全かつ継続的に運用管理できる基盤の実現を目指すもの。

　構想の第一弾として、サイバートラストは米Dark Sky Technology（以下、Dark Sky）と協業し、重要ITシステムおよび組み込み製品向けに「OSS適合証明サービス」を9月以降順次提供する予定。

　OSS適合証明サービスは、OSSを単に利用するのではなく、利用前・利用中・脆弱性発生時に、OSSの利用可否や対応方針を判断し、その根拠を説明できる状態で運用することを支援する。

　サービスでは、OSS受け入れ基準の整備、SBOMおよびOSS構成情報の評価、脆弱性対応判断、監査・顧客説明向けレポート作成を支援する。Dark Skyのソフトウェアサプライチェーンセキュリティプラットフォーム「Bulletproof Trust」と、サイバートラストが持つLinux/OSSの長期保守、組み込みLinux開発、SBOM運用、国内サポートの知見を組み合わせる。

　Bulletproof Trustは、SBOM管理、OSSパッケージの健全性評価および依存関係のリスク評価、脅威インテリジェンス、監査証跡管理を支援する。これにより、OSS利用開始前に各パッケージの健全性を確認することで開発環境を常に安全な状態にする。また、開発開始後からリリース後の運用まで、OSSリスクを継続的に評価・管理する運用を実現する。

　サイバートラストは、国内顧客向けの導入支援、OSS運用設計、監査・顧客説明支援を担う。両社はそれぞれの知見を組み合わせ、重要インフラでOSSの安全かつ継続的な運用を支援する。

　サイバートラストは、今回の構想を軸に、重要インフラサプライチェーンに向けたトラスト基盤の取り組みを段階的に拡大する。まず、Dark Skyとの協業を通じて、重要ITシステムや組み込み製品に関わるプライムベンダー向けに、OSS受け入れ基準の整備、SBOM評価、脆弱性対応判断、監査レポート支援などのサービス化を進める。

　重要ITシステム向けには、既存の開発・運用環境を前提に、まずOSS受け入れ評価、構成情報評価、監査説明支援から開始し、必要に応じて自動化への拡張を検討する。組み込み製品向けには、EMLinuxやEMLinuxカスタムメンテナンスサービスとの連携を視野に、CI、ビルド成果物管理、テスト結果管理など、開発・運用プロセスに関わる情報管理への拡張を検討する。

　さらに将来的には、AI生成コードや修正候補のレビュー、検出された脆弱性について実環境での影響有無や対応要否を整理する仕組み、署名付き証跡なども視野に入れ、AI時代に重要インフラ事業者がOSSを安全に利用し続けるための運用管理基盤の実現を目指す。また、認証・認可やデータ真正性に関する標準化動向を踏まえたトラストサービスの提供も進めていくとしている。