NRIセキュア、経済安全保障に不可欠なリスク対策を総合的に支援する「サプライチェーントラストサービス」を提供開始

■企業を取り巻くリスクが多様化
デジタル社会の進展に伴うアタックサーフェス（攻撃対象領域）の拡大や、経済安全保障推進法[iv]（以下「経済安保推進法」）の成立により、企業や団体では高度なリスク対応が求められてきています。特に、重要インフラを担う企業等にとって大きな負担となっているのは、自社のシステムの維持管理やセキュリティ対策といった従来の対応に加えて、ランサムウェアに感染した場合等、不正な妨害の発生時においても、経済安保推進法で定められる「基幹インフラ役務の安定的な提供の確保」を継続できるよう、特定重要設備[v]・重要維持管理等[vi]に係る委託先を含めたサプライチェーン全体のセキュリティ対策を実施しなければならないことです。

■本サービスの概要
本サービスは、経済安保推進法に基づく特定重要設備の「導入及び維持管理のため事前審査対応」やリスク評価だけでなく、セキュアソフトウェア開発におけるセキュリティ対応（例：不正プログラム検出・不正コミット監視・ソフトウェア脆弱性管理・DevSecOps[vii]実行・シフトレフト[viii]実行）、サイバー攻撃にも対応したBCP（事業継続計画）策定、パートナー管理強化等のリスク管理措置、リスク管理態勢整備（脅威の内部侵入を防ぐだけでなく、内部侵入後の被害最小化対策を含めたサイバー攻撃耐性を評価）等のメニューから構成されます（表を参照）。

表：「サプライチェーントラストサービス」における支援メニューの概要

本サービスの対象は、主務省庁が指定した「特定社会基盤事業者」に該当する企業の他、その特定重要設備等の供給者、委託先である設備供給者・維持管理者、ソフトウェアサプライチェーンのセキュリティリスク対応が求められるグローバル企業や金融機関等も含まれます。

このたびのサービス提供開始に先立ち、NRIグループの一部組織で本サービスを先行導入し、サービス品質の検証を重ねました。実践的かつ高度な知見に裏付けされた本サービスを活用することで、サプライチェーン全体のリスク管理基盤の強化を実現できます。

NRIセキュアは今後も、サプライチェーントラストサービスをはじめとするセキュリティ向上に向けた支援やソリューションの提供を通して、安全・安心な情報システム環境と社会の実現に貢献していきます。

■ご参考
経済安保推進法「第3章：基幹インフラ役務の安定的な提供の確保」に求められる対策の例

【拡充予定の支援メニューについて】
・ソフトウェアサプライチェーン対応状況評価
ソフトウェアサプライチェーンにおけるリスク対策状況について、ソフトウェアライフサイクル（調達・開発・リリース・運用・共通の5工程）を分類し、各工程の対策状況を評価します。評価結果をレポートとして提出し、お客さまの要望に応じて対応計画の作成まで支援します。

・SBOM導入支援
ソフトウェアサプライチェーンにおけるリスクに対する有効な対策手段として近年注目を集めるSBOM（Software Bill of Materials、ソフトウェア部品表）の導入を支援します。導入の計画作成から製品・サービスの開発・運用プロセスへの導入の実施まで幅広い支援を提供します。