現在、企業などがサービスやソフトウェアなどの製品を提供するにあたり、BPOや外部のシステムとの連携、外部から調達したソフトウェアやハードウェアの利用などを行うことが当たり前となっています。これにより、サービスや製品のサプライチェーンはより大規模かつ複雑なものになる傾向があり、その結果、様々なサプライチェーンリスクが顕在化するようになりました。特に、近年ではサービスやソフトウェアのサプライチェーンの弱点を突く攻撃事例も数多くみられるようになり、その対応が急務となっています。
サプライチェーンセキュリティには主に、クラウドサービス提供元や業務委託先などのサードパーティを通じた自社への攻撃に関する領域(サービス・ビジネスのサプライチェーン)と、提供するソフトウェアへのバックドアの混入などに関する領域(ソフトウェアのサプライチェーン)があります。
サービス・ビジネスのサプライチェーンリスク
ソフトウェアのサプライチェーンリスク
サービスやソフトウェアを安定的に提供・運用し、情報漏洩などの事故を防ぐためにはサプライチェーンのセキュリティ対策状況を可視化するとともに、対策レベルを高めることが必要です。NRIセキュアではそれぞれの領域に関して下記のサービスを提供しており、各事業者様のニーズに合わせて様々な支援が可能です。
サプライチェーンセキュリティコンサルティング
サプライチェーンに関連する脅威を、シナリオやプロセスに着目してリスクベースで洗い出し対策を行いたい事業者様向けに、状況の可視化から対策の実施まで一貫して支援します。
脅威シナリオベースとバリューチェーンベースの2つの観点から対策すべきサプライチェーンリスクの分析を行い、優先的に対処すべきリスク事象を評価し、関係するサプライヤを分類・特定します。これらの結果を踏まえ、自組織での対策ロードマップの策定やサプライヤ向けの教育などを幅広く支援可能です。
サードパーティ・サイバーセキュリティ・デューデリジェンスサービス
サードパーティ・サイバーセキュリティ・デューデリジェンスサービスでは、自社にもたらす影響が大きい委託先・取引先などを特定し、適切に管理したいという事業者様向けに状況の可視化からサードパーティのセキュリティリスク管理まで一貫して支援します。
セキュリティインシデントなどが発生した際に、自組織への影響が大きいサードパーティを分類・特定し、これらサードパーティのセキュリティ体制や運用状況を内面や外面から評価します。そして、評価結果に基づく契約の実施/継続、見送り/中断などによるセキュリティリスクのコントロールを支援します。また、サードパーティ管理全般における、サイバーセキュリティ観点の管理や計画立案等を、PMOやアドバイザの立場で支援します。
Secure SketCH
Secure SketCHは、サプライチェーンの取引前選定から状況可視化、継続的な改善活動と定期的な再評価を一元的に実施したい事業者様に最適なWebサービスです。外部からの自動診断とアンケートを組み合わせ、多面的かつ定量的な評価が可能です。
自動診断機能により、委託元・委託先双方の負荷なく大量の委託先を迅速かつ継続的に評価でき、委託先の選定や管理業務の効率化が実現します。アンケート評価では、NRIセキュア提供の標準設問に加えて、お客様独自の設問も設定可能です。
評価後は課題や改善事項が優先順位付きで自動表示されます。委託元と委託先はWeb画面上で評価結果を確認し、タスク管理やコミュニケーション機能を通じて継続的な改善活動や再評価を協働して行うことができます。
ソフトウェアサプライチェーンセキュリティ評価サービス
ソフトウェアサプライチェーンセキュリティ評価サービスでは、これからソフトウェアサプライチェーン対策について検討したい事業者様や、自社の対策状況を第三者視点で評価してほしい事業者様向けに、状況の可視化から実施すべき対策の整理まで支援します。
各種ガイドラインにおけるソフトウェアサプライチェーンセキュリティに関する要求事項への準拠状況を網羅的に確認し、推奨対応事項を報告します。経済安全保障推進法にて重要インフラ企業に求められるサプライチェーンリスク対策の実施状況の評価も可能です。
ソースコード診断
ソースコード診断は、事業者様が開発・運用する製品・サービスに対して、ツールおよび手動による検査を行います。ソースコード上に潜在するセキュリティ上の問題や品質に関する問題を検出可能です。オプションサービスとして、ソフトウェアサプライチェーンの主要なリスクの1つである悪意のあるソースコード(バックドア)の埋め込み検知を提供しています。
バックドアの埋め込み検知では、提供いただいたソースコードと仕様書をもとに、診断員が手作業による検査を行います。検査は論文や実事例を元に整理した観点に基づいて実施します。直接ソースコードを確認することで、デプロイされたソフトウェアの外部からの診断では検知しにくいバックドアも発見できることが見込まれます。
SBOM導入支援サービス
SBOM導入支援サービスでは、製品・サービスを開発・運用する事業者様に向けに、ソフトウェアサプライチェーンのセキュリティ対策として注目されているSBOM(ソフトウェア部品表)の導入を支援します。
外部から調達するソフトウェア部品の脆弱性の確認や、自社の製品・サービスの脆弱性監視・対応といった、主にソフトウェアサプライチェーンにおける脆弱性管理のためのSBOM導入について、ご要望に応じて幅広く支援します。