ニュースリリース

デロイト トーマツ、 IoT製品のセキュリティ対策を監視するためのSBOM管理ソリューションの提供を開始

ソフトウェア部品表(SBOM)をさらに発展させ、ハードウェア等のセキュリティ対策を併せた部品表(セキュアBOM)の管理を提唱

2022年9月15日

デロイト トーマツ グループのデロイト トーマツ サイバー合同会社(東京都千代田区、代表執行者:桐原祐一郎、以下DTCY)は、この度、スマート家電を含むIoT製品の製品ライフサイクルに渡ってセキュリティ対策の危殆化や脆弱性の監視を自動化し、対策を支援するサービスを開発しました。

IoT製品を取扱う企業は、製造物責任(PL法)を果たすために、製品安全(セーフティ)と同様にセキュリティ対策においても説明責任が求められます。特に、セキュリティは販売した後も危殆化や脆弱性が発見されるたびに対策を行うことが必要であり、近年はソフトウェアの脆弱性を狙ったサイバー攻撃による被害の増加など高まるサイバーリスクを背景に、ソフトウェアに含まれるオープンソースやライブラリなどを部品と捉えて、ソフトウェア部品表(SBOM:Software Bill Of Materials)として管理することを行政も要求しはじめています。

さらにIoT製品ではソフトウェアに加えて、ハードウェアなどのセキュリティ対策の危殆化や脆弱性を監視する必要があることから、DTCYでは製品ライフサイクル全体を通したセキュリティ対策を部品表(セキュアBOM:Serure Bill Of Materials)として管理することを提唱しています。これらはIoT製品を製造する企業のみならず、IoT製品に付加価値をつけて提供する企業にも求められる一方で、経年で管理するには作業が煩雑なうえ見逃してしまう恐れや、専門知識が求められるという課題があります。

対象となる企業

DTCYが新たに提供を開始するサービスは、企業のこうした課題に対応し、IoT製品の企画・設計段階でのセキュリティ機能の組み込み(Security by Design)に加え、製品ライフサイクル全体にわたるセキュリティの確保までを包含するものです。具体的には、次のようなサービスを提供することを通じて、企業のセキュリティレベル向上やインシデント発生時の対応を行う組織であるPSIRT(Product Security Incident Response Team)を支援します。

  • 危殆化・脆弱性の監視
    クライアント企業のIoT製品の企画・開発段階でソフトウェアならびにハードウェアの部品表(セキュアBOM)を登録。危殆化情報やインターネットなどで日々アップデートされる脆弱性情報に該当があると自動的に検知し、アラートを通知。
    危殆化や脆弱性の対策は、ワークフローで関連部門が連携して対処するための機能を提供します。
  • プロセス監査
    製造・運用・保守において、セキュリティ対策がガイドライン通りに実施されることを定期的に確認した結果を記録に残し、ダッシュボードで実施状況やガイドラインの実行確認結果を可視化。

セキュアBOMの概略図

DTCYでは、SBOM管理ソリューション以外にも、製品の企画・設計からテスト、製造、PSIRT構築、教育まで、製品セキュリティ関連の企業の態勢強化に向けたサービスを幅広く提供しています。

報道機関の方からの問い合わせ先

デロイト トーマツ グループ 広報担当  内山、菊池
Tel: 03-6213-3210  Email: press-release@tohmatsu.co.jp

デロイト トーマツ グループは、日本におけるデロイト アジア パシフィック リミテッドおよびデロイトネットワークのメンバーであるデロイト トーマツ合同会社ならびにそのグループ法人(有限責任監査法人トーマツ、デロイト トーマツ コンサルティング合同会社、デロイト トーマツ ファイナンシャルアドバイザリー合同会社、デロイト トーマツ税理士法人、DT弁護士法人およびデロイト トーマツ コーポレート ソリューション合同会社を含む)の総称です。デロイト トーマツ グループは、日本で最大級のプロフェッショナルグループのひとつであり、各法人がそれぞれの適用法令に従い、監査・保証業務、リスクアドバイザリー、コンサルティング、ファイナンシャルアドバイザリー、税務、法務等を提供しています。また、国内約30都市以上に1万5千名を超える専門家を擁し、多国籍企業や主要な日本企業をクライアントとしています。詳細はデロイト トーマツ グループWebサイト(www.deloitte.com/jp)をご覧ください。

Deloitte(デロイト)とは、デロイト トウシュ トーマツ リミテッド(“DTTL”)、そのグローバルネットワーク組織を構成するメンバーファームおよびそれらの関係法人(総称して“デロイトネットワーク”)のひとつまたは複数を指します。DTTL(または“Deloitte Global”)ならびに各メンバーファームおよび関係法人はそれぞれ法的に独立した別個の組織体であり、第三者に関して相互に義務を課しまたは拘束させることはありません。DTTLおよびDTTLの各メンバーファームならびに関係法人は、自らの作為および不作為についてのみ責任を負い、互いに他のファームまたは関係法人の作為および不作為について責任を負うものではありません。DTTLはクライアントへのサービス提供を行いません。詳細は www.deloitte.com/jp/about をご覧ください。

デロイト アジア パシフィック リミテッドはDTTLのメンバーファームであり、保証有限責任会社です。デロイト アジア パシフィック リミテッドのメンバーおよびそれらの関係法人は、それぞれ法的に独立した別個の組織体であり、アジア パシフィックにおける100を超える都市(オークランド、バンコク、北京、ハノイ、香港、ジャカルタ、クアラルンプール、マニラ、メルボルン、大阪、ソウル、上海、シンガポール、シドニー、台北、東京を含む)にてサービスを提供しています。

Deloitte(デロイト)は、監査・保証業務、コンサルティング、ファイナンシャルアドバイザリー、リスクアドバイザリー、税務、法務などに関連する最先端のサービスを、Fortune Global 500®の約9割の企業や多数のプライベート(非公開)企業を含むクライアントに提供しています。デロイトは、資本市場に対する社会的な信頼を高め、クライアントの変革と繁栄を促し、より豊かな経済、公正な社会、持続可能な世界の実現に向けて自ら率先して取り組むことを通じて、計測可能で継続性のある成果をもたらすプロフェッショナルの集団です。デロイトは、創設以来175年余りの歴史を有し、150を超える国・地域にわたって活動を展開しています。 “Making an impact that matters”をパーパス(存在理由)として標榜するデロイトの約345,000名のプロフェッショナルの活動の詳細については、(www.deloitte.com)をご覧ください。