2024年12月10日、SHIFTは、「EUサイバーレジリエンス法対応体制構築支援サービス」の提供を開始すると発表した。
同サービスは、SCA/SBOMツールの全社導入・運用をはじめとするソフトウェアサプライチェーンセキュリティ体制の、構築から運用までを支援するもの。EUサイバーレジリエンス法で対応が義務づけられている、SCA/SBOMツールの導入運用やPSIRT構築・運用、セキュア製品開発ガイド策定などの取り組みを実現するとのことだ。詳細は以下のとおり。
SCA/SBOMツールの導入・運用
SBOMを管理・生成するためのソフトウェアコンポーネント分析(SCA)ツールの導入・運用を行うという。
組織・企業の特性を踏まえたSCA/SBOMツールを選定し、SCA/SBOM生成プロセスを自動化することで、SBOM作成・管理を効率化。また、全社展開や本格運用にあたって生じ得る課題を整理し、導入後も自立して運用できる体制構築をサポートするとのことだ。
PSIRT構築・仮運用
脆弱性報告体制の構築
欧州の現地法人や出張所と連携し、脆弱性報告を行う体制の構築・運用を支援。組織体制の構築と同時に、運用に必要な各種ルールの策定、運用環境の整備、インシデントハンドリングをはじめとする人的スキルの習得についてもサポートするという。
セキュア製品開発ガバナンス体制の構築
製品の設計段階からセキュリティを考慮し、セキュア・バイ・デザインを実践。製品のセキュア開発プロセスをガバナンスする体制の構築・運用を支援するとのことだ。
自社製品ユーザー対応窓口の構築
各企業の自社製品に関する脆弱性報告を受け付けたり、ユーザーに情報を提供したりする窓口の構築・運用を支援するという。
セキュア製品開発ガイド策定
自社製品脆弱性対応プロセスの整備
自社製品に関する重大な脆弱性や、脆弱性の悪用が報告された場合の対応手順、当局への報告手順、脆弱性開示ポリシーなどをまとめたルールの整備を支援するとしている。
セキュア製品開発プロセスの整備
セキュリティが担保された製品を開発・保守するための対応手順や、評価手順などをまとめたルールの整備を支援するという。
「EU適合宣言書」「技術文書」テンプレートの作成
製品ごとに作成と公開が義務付けられる「EU適合宣言書」「技術文書」の社内共通テンプレートを作成するとのことだ。
【関連記事】
・SHIFT、「モダナイゼーションサービス」提供 レガシーシステムの仕様をAIで可視化、高精度な分析へ
・フューチャー、「製造業のPSIRT業務支援に特化」した脆弱性管理ソリューションを発表 SBOM管理も
・テクマトリックスら3社、提携によりSBOM環境構築・体制整備や法規対応、管理・運用まで支援可能に
