活動趣旨
私たちが普段利用しているシステムやサービスは、さまざまなハードウェアやソフトウェアによって構成されています。そして、それらはいずれも多様なサプライチェーンによって支えられています。サプライチェーンを構成する事業者の環境や製品のセキュリティが侵害されることで、結果的にそれらが支えるシステムやサービスの侵害につながるリスクを「サプライチェーンセキュリティリスク」と呼びます。
Society 5.0ではシステムやサービスを構成するハードウェアやソフトウェアが多様化・高機能化することから、関係するサプライチェーンも拡大します。結果的にこのようなセキュリティリスクがますます深刻化することでしょう。そして、システムやサービスを提供する事業者だけでなく、サプライチェーンを支える事業者にもそのリスク対応を求められるという意味で、サプライチェーンセキュリティリスクは「社会全体で対応すべき課題」と言えます。
現在、このリスク対応のために、製品やシステムの中身(ソフトウェア構成等)を可視化し、セキュリティの透明性を確保することへの関心が高まっています。具体的には、ソフトウェア構成リストに関するデータ形式(SBOM)の標準化や当該データの作成および提供を事業者に求める動きなど、いわゆる可視化データを「つくる」面の取り組みが活発化しています。
一方で、可視化データの作成および提供とともに、その活用性も十分に確保しなければ、可視化データの作成および提供に伴うコスト負担と釣り合わず、取り組みの効果が薄れ、形骸化すらまねくおそれがあります。つまり、せっかく作成した可視化データについて、サプライチェーンを構成する事業者が連携し、サプライチェーンセキュリティリスクの低減に向け、さらにはさまざまなセキュリティ業務に価値をもたらすことに向け、「つかう」側面からその効果と実践方法を具現化することが重要となります。
そこで本コンソーシアムでは、可視化データの社会浸透を前提とし、可視化データを「つかう」ことにより確保される透明性をもとにしたセキュリティ向上策に関する「知見の共創」について、サプライチェーンを構成する事業者が連携して取り組みます。さらに、特定の業種や業界に縛られず参加事業者を募ることで、透明性がもたらす価値をより広範に発掘、具現化することをめざします。
本コンソーシアムの主な活動としては、可視化データの活用に関する課題抽出およびそれら解決策の検討と実証、成果の文書化等を通じた技術的知見の共創、本コンソーシアムへの参加事業者の拡大を通じたコミュニティ形成、本活動の目的に資する他組織等との連携推進を行います。
組織のめざすところ
セキュリティ・トランスペアレンシー・コンソーシアムが目指すのは、システム運用者に対してシステムの透明性を確保することで、完成度が高いセキュリティの運用を可能にすることです。セキュリティの大きな課題として、内部が不透明でブラックボックスになっていることが指摘されています。システムの複雑化、サプライチェーンの多様化によって、システムの内部の把握が困難になっています。そこで、セキュリティの面だけでも透明を確保することができれば、的確な対処が可能になります。しかし、透明性確保は、個社の努力では限界があります。コンソーシアムを中心に事業者が連携して可視化するべきデータを定義して、必要なユーザ事業者等にセキュアに共有する必要があります。
コンソーシアムでは、(1)可視化データに関する技術的知見の協創(課題検討、課題解決策の検討・実証、成果の文書化等)、(2)コミュニティ形成(本活動への参加事業者拡大と連携強化)、(3)外部連携(本活動の目的に資する他組織等との連携推進)を促進し、日本国内外のセキュリティ運用の効率化に貢献します。
活動方針
■活動内容
・可視化データに関する技術的知見の協創(課題検討、課題解決策の検討・実証、成果の文書化等)
・コミュニティ形成(本活動への参加事業者拡大と連携強化)
・外部連携(本活動の目的に資する他組織等との連携推進)
■活動指針
・多様な分野における活用法を深掘するため、サプライチェーンを形成するさまざまな立場の事業者(製品ベンダ、
SI事業者、サービス事業者、セキュリティベンダ等)を対象とする
・事業者間の相互信頼に基づく活動の場とするため、事業者の新規参加にあたっては参加事業者による協議を行う
・知的財産を創出せず、参加事業者の「協調領域」を活動範囲とする
・参加事業者の機密情報を活動の前提とせず、各事業者が開示可能な情報のみを用いて活動する
■組織運営方針
・総会を最高機関とし、コンソーシアムの運営方針等を決定
・運営委員会を執行機関とし、運営上の重要事項(会員の加入/除名、ワーキンググループの設置等)を決定
・ワーキンググループでコンソーシアムの活動方針に沿ったテーマを検討