NEC、ネットワーク機器のサプライチェーンセキュリティを検証するサービスを提供：セキュリティソリューション

NECは「NECサプライチェーンセキュリティマネジメント for ネットワーク」のサービス版を提供する。ソフトウェア版にはない幾つかの新機能を追加している。

[田渕聖人，ITmedia]

　NECは2023年11月9日、「NECサプライチェーンセキュリティマネジメント for ネットワーク」において、従来提供してきたオンプレミス構成であるソフトウェア版に加えて、新たにクラウドサービス版の販売を開始した。

　同製品は、シスコシステムズ製のネットワーク機器を対象にしており、工場出荷時を起点とした証跡情報を活用して、機器がメーカーの設計および製造した状態から意図せず改変されていないことを検証する。運用時のセキュリティ関連情報も収集することでセキュアなネットワークシステムの構築から運用、保守までライフサイクル全体にわたって支援する。

ソフトウェア版にはない新機能を追加し、ネットワーク機器の真正性を確保

　昨今、サイバーセキュリティにおける脅威が深刻化している他、国家安全保障領域や重要産業インフラのサプライチェーンを狙った攻撃など、サイバー攻撃の種類も多様化している。これを受けて、情報通信インフラや機器のシステムライフサイクルを通じたリスク管理をはじめとするサプライチェーンリスクへの対応が、ますます重要な課題となっている。

　今回、NECサプライチェーンセキュリティマネジメント for ネットワークのサービス版が提供されるようになったことで、顧客はネットワークの機器構成や環境、ポリシーに応じて利用環境を選択できるようになる。

NECサプライチェーンセキュリティマネジメント for ネットワークのサービス版イメージ（出典：NECのプレスリリース）

　今回のサービス版ではソフトウェア版（パッケージ提供版）にはない新機能として、悪意ある変更や内部不正の抑止に効果がある「ログイン監視機能」「操作履歴の表示」や、設定したセキュリティポリシーを順守していない機器を検出する「セキュリティ設定チェック機能」を追加した。また、顧客の環境を踏まえて対処すべきリスクを独自の指標で優先付けする「脆弱（ぜいじゃく）性情報、対象機器絞り込み機能」を強化した。

NECサプライチェーンセキュリティマネジメント for ネットワークのサービス版機能概要（出典：NECの提供資料）

　これらによって顧客に適した情報の提示やガバナンス強化を支援し、機器のリスク把握や外部環境の変化に伴う機器運用の効率化に貢献するという。今後はこれらの新機能および強化をソフトウェア版にも搭載する予定だ。

　なお、サービス版は2022年からNECの社内ネットワークにおいて実証実験で効果を検証済みだ。NECによると、同社のネットワークでは、機器の管理者としての不正ログインや内部不正への対策として、操作ログなどによる本人確認や否認の防止を実施していたが、その運用負荷が課題となっていた。しかし今回の製品を導入したことで社内ネットワークの機器管理を自動化、効率化でき、国内約300拠点の機器管理確認作業を約70％削減できる見込みだという。

　NEC サプライチェーンセキュリティマネジメント for ネットワークのサービス版は2023年11月17日から受注および提供を開始する。価格は年額350万円（税別）からとなる。対象となるネットワーク機器は今後拡大予定だとされている。