• オンデマンド配信あり

YC1-03

6.14(水) 14:40-16:00 | RoomYC

×

ソフトウェアのサプライチェーン管理
〜経済安保の観点で求められること・できること〜

ランサムウェアの被害組織から、インシデントに至った経緯や実態が報告書という形で公開されています。組織的・技術的な対策がいくつか挙げられる中、システム・ソフトウェアの提供元である事業者・ベンダーにおける対応や、サプライチェーンの管理について指摘がなされています。 なぜ、重大な脆弱性の対策が行われず、放置されてしまうのか。システムの要件定義の段階で、顧客とベンダーの間でセキュリティ上のリスクについてどこまで検討すればよいのか。運用後の役割分担は誰がどうやって決めればいいのか。ソフトウェアサプライチェーンの管理は、様々なプレイヤーが関係しあって複雑さを増しています。 また、経済安全保障推進法の「基幹インフラの安全性・信頼性の確保」の観点では、重要インフラ企業に国が指定した設備を導入したり・維持管理を外部委託したりする場合には、事前に所管省庁へ届け出が必要となります。具体的には、「設備の製造過程で不正なプログラムが組み込まれず」「サイバー攻撃で被害が出てもサービスが継続可能」であることを求められます。取引先である「設備の納入元」や「維持管理を委託する企業」の情報も、申告対象に含まれます。こうした国の取組に対して、供給する側として備えておくべき、今すぐできる対策とはなにか? ソフトウェアのライフサイクルを管理するために、提供する側・される側を含め、どういった情報連携をするべきか。「セキュリティ品質確保の管理方法としての、SBOM(Software Bill of Materials)をはじめとしたソフトウェアサプライチェーンに関する取り組み」「先進的な脆弱性管理を行っている企業の事例、取り組みの中でうまくいかない部分」「ツールや管理システムの話だけではなく、業界を巻き込む形での情報連携」などの取り組みについて、ご紹介します。
<要旨>

●インフラ事業者(顧客)とサプライヤー(SIer、販売店)、デベロッパー(ソフトウェアベンダ)の連携 ●ソフトウェア管理の透明性の取組(クラウドサービスの選定基準とか、開発委託先管理の話も) ●構成管理の共有

  • セキュリティ
Speaker

フォーティネットジャパン(同)

OTビジネス開発部 部長

佐々木 弘志

国内製造企業の制御システム機器の開発者として14年間従事した後、セキュリティーベンダーに転職。制御システム開発の経験をもつセキュリティー専門家として、産業サイバーセキュリティーの文化醸成(ビジネス化)をめざし、国内外の講演、執筆などの啓発やソリューション提案などのビジネス活動を行っている。 独立行政法人 情報処理推進機構(IPA)産業サイバーセキュリティセンター(ICSCoE)専門委員(非常勤) 経済産業省 商務情報政策局 情報セキュリティ対策専門官(非常勤) 名古屋工業大学 産学官金連携機構 ものづくりDX研究所 客員准教授(非常勤)

Speaker

(株)アシュアード

脆弱性管理クラウド yamory プロダクトオーナー

鈴木 康弘

ITコンサルティング会社を経て、2010年9月にビズリーチへ入社。 ビズリーチの立ち上げ初期から携わり、キャリトレなど4つのサービスや開発部門を立ち上げてきた。 自社のプロダクト・サービスのセキュリティレベルを高めるためにセキュリティツールを開発し、後に、脆弱性管理クラウド yamoryとして事業化し販売を開始。 現在は「脆弱性管理クラウド yamory」のプロダクトオーナーとして、プロダクトのディレクションや組織マネジメントを行っている。                                    

Chair

(株)FFRIセキュリティ

yaraiサービス本部 セキュリティサービス部長

中西 克彦

大手SIベンダにてWAFの開発/サポート、セキュリティ診断を皮切りに、インシデントレスポンス、サイバー演習などセキュリティ業務に携わる。 2015年から大会終了まで東京2020組織委員会に出向し、CSIRT、脅威情報の分析などを担当。 内閣府 大臣官房 情報化参与 最高情報セキュリティアドバイザー CYDER推進委員。Hardening Project実行委員 令和4年 サイバーセキュリティに関する総務大臣奨励賞 ISC2 Asia-Pacific ISLA™2017 、CISSP

閉じる