サプライチェーンセキュリティリスクを低減する技術のフィールド実証を開始 ~セキュリティトランスペアレンシー確保技術による安心安全の実現に向けて~
両者はこれまで、情報通信インフラを構成する通信機器およびシステムの構成やリスクをサプライチェーン全体で共有し、セキュリティに関する透明性を確保するため、本技術の開発を推進してまいりました。本技術はさまざまな企業・組織等が協調しサプライチェーン全体で推進することが重要なため、ソフトウェア部品を一覧化するためのデータ形式であるSBOMフォーマット*1を活用することで、各種ツール・システムの利用を可能としました。また、2023年度上期にはさまざまな企業・組織等によるオープンコンソーシアム設立を予定しております。
今回の取組は、革新的光・無線技術を活用したICT製品の共同研究開発およびグローバル展開を目的とした2020年6月の資本業務提携*2の一環です。
1.背景
近年、機器・システム等の調達および保守・運用に関し、サプライチェーンを介して、製品・サービス・事業環境等がセキュリティ侵害を受ける「サプライチェーンセキュリティリスク」が顕在化しています。また、日本国内では、経済安全保障推進法の公布を契機として当該リスクに対する関心や対応ニーズが高まっています。
このような状況の中、両社は、情報通信サービスや情報通信システム、およびそれらを形成する機器の「構成」「リスク」に関する可視化データを生成、活用することによって、セキュリティの透明性を確保する本技術を2021年10月に開発し*3、その高度化に取り組んでまいりました。
2.可視化データの生成・活用を促進する技術の高度化
本技術は、機器・システム等のソフトウェア構成を可視化する構成分析技術(NTT)、および機器内部のソフトウェアの不正機能による脅威を検出するバックドア検査技術(NEC)、情報通信システムにおける攻撃ルートを可視化するサイバー攻撃リスク自動診断技術(NEC)により構成されます。そこで生成、活用する可視化データについて、世界各国で注目を集めるSBOMフォーマットを利用します。これによって、ソフトウェア構成に関わる情報の管理や活用に、SBOMフォーマットに対応した各種ツール・システムを利用することが可能になります。さらに、本技術は、実運用上の重要な課題となる「可視化データの情報量と品質の強化」および「活用性の向上」を図る独自機能を備え、SBOM起点のさまざまなセキュリティオペレーションの高度化にも貢献します。
なお、NTTは、本技術の最新成果を2022年11月16日から18日に開催予定の「NTT R&D FORUM — Road to IOWN 2022」*4において公開します。
3.事業適用をめざしたフィールド実証
NTTグループ*5とNECは、本技術のIOWNを含む事業適用をめざしたフィールド実証を2022年11月から開始します。具体的には、各社保有の情報通信サービスや情報通信システム、およびそれらを形成する機器の「構成」「リスク」に関する可視化データを、本技術によって生成、活用可能にする運用方法の検討と実証に取り組みます。この実証を通じて、機器やシステムの調達、運用、サービス提供等のさまざまな事業シーンにおける本技術の実運用方法の確立と評価、課題抽出による技術開発へのフィードバックを行い、本技術のさらなる熟成を図ります。
4.今後の展開
本技術の活用を通じて、機器ベンダ、システムインテグレータ、機器・システムのユーザ事業者、セキュリティベンダ等のさまざまな企業・組織等が協調してサプライチェーンセキュリティリスク対応に取り組むことを目的とする「セキュリティ・トランスペアレンシー・コンソーシアム(Security Transparency Consortium、以下「本コンソーシアム」)」の設立を準備しております。本コンソーシアムは2023年度上期に設立することをめざし、広く参加企業・組織等の募集を始めます。
本コンソーシアムでは、参加企業・組織等が共に協調して、本技術の利用に関する技術仕様やノウハウの共有、課題解決等に取り組みます。これによって、本技術を活用したリスク対応を広く誰もが行える環境づくりを目的として、サプライチェーンに関わる多くの企業・組織等と共にIOWNも視野に入れた事業適用をめざす取り組みを進めてまいります。
*1 Software Bill of Materials、製品に含まれるソフトウェア部品を一覧化するためのデータ形式
URL:https://www.ntia.gov/SBOM
*2 革新的光・無線技術を活用したICT製品の共同研究開発およびグローバル展開で提携
URL:https://group.ntt/jp/newsrelease/2020/06/25/200625b.html
*3 NTTとNEC、情報通信インフラにおけるサプライチェーンセキュリティリスクへの対策技術を開発
URL:https://group.ntt/jp/newsrelease/2021/10/27/211027b.html
URL:https://jpn.nec.com/press/202110/20211027_01.html
*4 NTT R&D FORUM — Road to IOWN 2022
URL:https://www.rd.ntt/forum/
*5 日本電信電話株式会社(本社:東京都千代田区、代表取締役社長:島田 明)、
東日本電信電話株式会社(本社:東京都新宿区、代表取締役社長:澁谷 直樹)、
西日本電信電話株式会社(本社:大阪府大阪市都島区、代表取締役社長:森林 正彰)、
NTTコミュニケーションズ株式会社(本社:東京都千代田区、代表取締役社長:丸岡 亨)、
株式会社NTTドコモ(本社:東京都千代田区、代表取締役社長:井伊 基之)、
株式会社NTTデータ(本社:東京都江東区、代表取締役社長:本間 洋)