|
SBOM※1などの可視化データ※2を活用する際に「つかう側」が直面する問題・課題解決に取り組んでいる「セキュリティ・トランスペアレンシー・コンソーシアム(Security Transparency Consortium、会長:情報セキュリティ大学院大学 後藤厚宏、以下
「本コンソーシアム」)」※3において、NTT株式会社および日本電気株式会社を主査、副主査を務める、多様な事業者で構成されるワーキンググループは、経営層によるサイバーセキュリティの適切な判断と統治を実現するための提言書「可視化データによるサイバーセキュリティ透明化とガバナンス強化」を公表しました。今回の提言は、従来IT・セキュリティ部門に委ねられがちであったサイバーセキュリティ対策の重要性について、経営層が再認識するきっかけとなるものです。
また、サイバー被害が取引先や社会全体への波及を未然に防止するため、官民連携の強化が求められる中で、本提言はその動きにも関連しています。さらに、これから可視化データの活用を検討している様々な業界の経営層にとって、有用な指針となることが期待されます。 |
|
|
|
1.背景と目的 |
|
サイバー攻撃は年々増加傾向であり、手口も巧妙化しています。そのため、企業戦略としてセキュリティに対する投資や経営層による適切な判断の重要性が高まっています。2023年に経済産業省と独立行政法人情報処理推進機構(IPA)で公表した「サイバーセキュリティ経営ガイドラインVer3.0」では、経営層に求められる「役割」と「対応事項(努力義務)」が明示されています。
さらに、海外では、サイバー被害や脆弱性に関する報告義務や罰則も伴う法制度が整備されつつあり、国内においても2025年にサイバー対処能力強化法が公布されました。こうした中、被害拡大を防ぐための可視化は、経営層にとって非常に重要な関心事となっています。本コンソーシアムでは、可視化が不十分であったことにより被害が拡大したインシデント事例を踏まえ、経営層の意思決定に資する可視化データのあり方について提言します。 |
|
|
|
2.「可視化データによるサイバーセキュリティ透明化とガバナンス強化」の概要 |
|
本提言では、昨今のインシデント事例を、サイバーセキュリティに関する六つの経営層責任である「ガバナンス上の経営責任」、「法的・規制対応責任」、「説明責任・信頼責任」、「予見・予防責任」、「対応・監督責任」、「倫理的責任」の観点から分析しています。この分析結果から、経営者をサポートする可視化データを「資産や事業のリスク」、「セキュリティ状況」、「サプライチェーン」、「説明責任」の4分類に定義しました。そして、可視化データがどのように役立つのかを具体的に示し、可視化データの特定、収集、分析、活用の各段階において、経営層が為すべきことについて提言しています。 |
|
|
|
3.今後の展開 |
|
本コンソーシアムは、多様な事業者と共に、可視化データ活用における問題・課題の解決策を引き続き共創していきます。IT・セキュリティ部門の実務者向けの可視化データの実装に関する提言書も現在検討中しており、本コンソーシアムのウェブサイト※4にて、順次公表していく予定です。さらに、本コンソーシアムの参加事業者の拡大にも継続して取り組んでおり、ウェブサイト※5にて新たな参加事業者の募集を行っています。 |
|
|
|
4.参加事業者(50音順、2026年3月24日現在) |
|
参加事業者は以下のとおりです。 |
|
・アズビル株式会社 |
|
・NRIセキュアテクノロジーズ株式会社 |
|
・NTT株式会社 |
|
・株式会社アシュアード |
|
・株式会社NTC |
|
・株式会社NTTデータグループ |
|
・株式会社FFRIセキュリティ |
|
・株式会社ジークス |
|
・株式会社日立製作所 |
|
・株式会社PEGASUS HOLDINGS |
|
・株式会社ラック |
|
・Covalent株式会社 |
|
・サイバートラスト株式会社 |
|
・シスコシステムズ合同会社 |
|
・東京エレクトロン株式会社 |
|
・TIS株式会社 |
|
・日本電気株式会社 |
|
|
|
※1 |
|
Software Bill of Materials、製品に含まれるソフトウェア部品を一覧化するためのデータ形式 |
|
URL:https://www.ntia.gov/
|
|
※2 |
|
サプライチェーンにおいて事業者間で授受される製品、システム、サービスなどのソフトウェアやハードウェアの構成や状態、リスクの情報を可視化したデータのこと |
|
※3 |
|
NTT株式会社、日本電気株式会社を幹事事業者として2023年9月に発足したコンソーシアム |
|
※4 |
|
セキュリティ・トランスペアレンシー・コンソーシアムウェブサイト「情報発信」 |
|
URL: https://www.st-consortium.org/?page_id=963
|
|
※5 |
|
セキュリティ・トランスペアレンシー・コンソーシアムウェブサイト「加入について」 |
|
URL:https://www.st-consortium.org/?page_id=6
|
|
|
|
■コンソーシアムに関するお問い合わせ先 |
|
セキュリティ・トランスペアレンシー・コンソーシアム事務局 |
|
stc-info@st-consortium.org |
|
