ソフトウェアサプライチェーンリスクへの対策を行いたいが、どこから手を付ければよいか分からない
ソフトウェアサプライチェーンセキュリティ(SSCS)評価サービス
専門家によるソフトウェアサプライチェーンリスク対策実態の把握・対策支援
専門家によるソフトウェアサプライチェーンリスク対策実態の把握・対策支援
ソフトウェアサプライチェーンリスクへの対策を行いたいが、どこから手を付ければよいか分からない
重要インフラ企業に該当し、サプライチェーンリスク対策実施状況の説明を行う必要があるため、実行支援をしてほしい
自社でソフトウェアサプライチェーンセキュリティの対策を実施しているが、適切な対策ができているかどうか第三者の視点で評価してほしい
ソフトウェアサプライチェーンセキュリティ(SSCS)対策支援サービスとは
ソフトウェア開発の流れは広範囲にわたり、かつ各フェーズに様々なリスクが潜んでいるため、網羅的なリスク把握が困難な状況がうまれつつあるのが現状です。
また、経済安全保障推進法の制定に伴い重要インフラ(電気、ガス、石油、水道、電気通信、放送、郵便、金融、クレジットカード、鉄道、貨物自動車運送、外航貨物、航空、空港)事業者は重要設備導入時に導入計画の届出や審査を受ける義務を負うことになり、各事業者による対応も要求されつつあります
上記のような状況への対策支援サービスとして、ソフトウェアサプライチェーン対策支援サービスでは以下のように複数のガイドライン要件を組み合わせた弊社独自の評価基準を利用しリスクの洗い出しを行います。
各種ガイドラインに基づく要求事項の一覧化
ソフトウェアサプライチェーンセキュリティに関する対策を網羅的に評価するため、各種ガイドラインを参考に要求事項を収集しています。
要求事項の実施状況の調査
開発、運用、調達部門や利用者などの様々なステークホルダに対してヒアリングを実施し、各要求事項への対応状況を評価します。
また、ご要望に応じて未対応要求事項への対策ロードマップの策定をご支援することも可能です。
ソフトウェアライフサイクルの工程ごとの評価
ソフトウェアライフサイクルを「調達」、「製造・開発」、「リリース・デプロイ」、「運用」の4つの工程に分類し、それぞれに該当する要求事項を一覧化・整理します。
さらに、それぞれの工程において「技術(ツール)」、「人員」、「プロセス」という3つの段階を定めることで、各工程における要求事項をわかりやすく網羅できるようにしています。
また、工程に依存せず実施すべき対策についても共通項目として分類し、網羅性を担保しています。
要求事項の評価軸について
評価にあたっては、評価軸として弊社が定義する3段階の要求レベルを用います。
レベル | 方針 | 内容 |
1 | Basic |
システムの重要度・影響度に関わらず、必ず対策するべき要求事項のレベル。 本レベルに該当する要求事項が対応されていない場合は、対策状況の報告レポートにおいても必ず対応を求める形で指摘する。 |
2 | Advanced |
基幹インフラシステムや、金銭・個人情報を取り扱うような重要度の高いシステムでは対応するべき要求事項のレベル。 本レベルに該当する要求事項が対応されていない場合は、対策状況の報告レポートにおいて、システム特性の評価結果を考慮し、重要システムであれば必ず対応を求める形で指摘する。 |
3 | Extreme |
ガイドライン・フレームワークに記載されているが、対応難易度等を考慮し、本フレームワークでは任意での対応とする要求事項。ビジネスオーナーの判断により、対応要否を検討する。 本レベルに該当する要求事項が対応されていない場合は、対策状況の報告レポートにおいて、当該システム環境における対応難易度、費用対効果を踏まえて対応を求める。 |
STEP
1
リスク対策実施状況の評価
・貴社にてアセスシートにご記入いただく場合
弊社にてご用意したアセスメントシートをご提供し、その内容に沿って対策状況の確認を行っていただきます。
・ヒアリング形式の場合
貴社ご担当者様との打ち合わせを調整いただき、弊社にてアセスメントシートの記載を代行いたします。
※ご要望に応じて、ドキュメントレビュー形式と会議同席形式を組みあわせることも可能です。
STEP
2
報告書の作成
頂いた情報をもとに設計内容のレビューを行い、報告書にまとめます。
STEP
3
報告会の実施
報告会を行い、レビューした内容や今後の改善方針についてご報告と提案を行います。