セキュリティ・トランスペアレンシー・コンソーシアム活動ビジョン「セキュリティ透明性の向上と活用に向けて」を公表

～SBOM等の利活用を通じたサプライチェーンにおける包括的なサイバーセキュリティ能力の向上推進～　
　
　日本電信電話株式会社（本社：東京都千代田区、代表取締役社長：島田 明、以下「NTT」）および
日本電気株式会社（本社：東京都港区、取締役 代表執行役社長 兼 CEO：森田 隆之、以下「NEC」）を幹事事業者とし、2023年9月サプライチェーンセキュリティリスクの低減を目的とする「セキュリティ・トランスペアレンシー・コンソーシアム（Security Transparency Consortium、以下「本コンソーシアム」）」を発足しました。
　発足時の参加事業者であるアラクサラネットワークス株式会社、株式会社NTTデータグループ、株式会社ＦＦＲＩセキュリティ、シスコシステムズ合同会社、株式会社日立製作所、三菱電機株式会社に、あらたにNRIセキュアテクノロジーズ株式会社、東京エレクトロン株式会社が加わり、本コンソーシアムに取り組んでいます。今回、活動成果として、製品・システム・サービス等に関して「つくる側」が作成・提供した可視化データを利用する際に直面する問題を「つかう側」からとりまとめ、その問題解決に向けた本コンソーシアムの活動方針を活動ビジョンとして公表しました。

1．背景
　製品・システム・サービス等がサプライチェーンを通じてセキュリティ侵害を受ける「サプライチェーンセキュリティリスク」は、各構成要素の供給元なども含めた全世界に拡がったサプライチェーン全体での対応が求められます。このような中、世界各国では法制度の整備を通じて、ソフトウェア部品を一覧化する標準データ形式であるSBOMフォーマット※１に基づき、ソフトウェア構成に関する「可視化データ」の作成および提供をサプライチェーンの供給側を担う事業者に求める動きが活発化しています。
　このような動きによって、可視化データを「つくる側」の視点にますますフォーカスしていくと、可視化データの生成に伴うコスト負担の問題のような「つくる側」の問題対処ばかりに偏重してしまう可能性があります。その結果、可視化データを現実的な範囲でつくることが目的化してしまい、可視化データが本来もたらすはずであった利点を損なうおそれがあります。一方、「つかう側」の視点にも立った検討を行うことによって、例えば、可視化データを有用につかうために満たすべきデータ内容の条件※2を見出することができれば、「つくる側」が行う可視化データの生成においても無駄なデータ生成を回避しやすくなるなどのメリットがもたらされます。
　このように真に問題を解決するためには、サプライチェーンにおける「つくる側」と「つかう側」にあたる多様な事業者による協調に加えて、特に「つかう側」の視点も取り入れた問題対処が不可欠です。