お客様の売れるソフトウェアサービス/製品づくりを支援する株式会社SHIFT(本社:東京都港区、代表取締役社長:丹下 大、プライム市場:3697、以下SHIFT)は、EUサイバーレジリエンス法(CRA)に準拠し、ソフトウェアサプライチェーンに対する一貫したセキュリティ管理体制の構築・運用を支援するサービス「EUサイバーレジリエンス法対応体制構築支援サービス」の提供を開始します。
アプリケーション開発のセキュリティに精通したSHIFTのセキュリティコンサルタントと、高品質なアジャイル開発を推進するSHIFTの開発エンジニアがタッグを組み、EUサイバーレジリエンス法で必須要件となっているSCA/SBOMツールの全社導入・運用や、製品セキュリティ対応体制(PSIRT)構築・運用、セキュア開発ガイド策定などの取り組みをサポートします。製品開発や事業推進のスピード感を損なうことなく、ソフトウェアサプライチェーンに対する一貫したセキュリティ管理体制の構築・運用を実現することが可能です。
提供開始の背景
DXの進展により、デジタル製品市場における競争は年々激化しており、製品の提供企業はリリースの迅速化を求められています。また、近年ではオープンソースソフトウェア(OSS)由来の脆弱性をつく攻撃が広がりを見せるなど、サイバー攻撃手法は多様化・複雑化を増しており、製品で活用しているソフトウェア部品の把握や、脆弱性を発見し対処する仕組みの構築も必要不可欠になってきています。
このような背景を受け、欧州域内で流通するデジタル製品のライフサイクル全体を通じたセキュリティ要件を定めたEUサイバーレジリエンス法が2024年10月に成立しました。同法では、デジタル製品の製造業者や小売業者に対して、さまざまなサイバーセキュリティ要件を遵守することを義務付けています。ソフトウェア部品把握のためのSBOMの作成、脆弱性の悪用やインシデントを発見後24時間以内に指定機関へ報告することなどが主要な要件となっており、対象となる企業は、同法の一部適用が開始される2026年9月から脆弱性を悪用したインシデント報告義務が課せられ、同法が全面適用される2027年12月までにすべての要件を満たす必要があり、対応が急務となっています。
SHIFTは、これまで多様な業界・業種の企業のセキュリティ戦略策定やセキュリティ体制構築を支援するとともに、開発プロセス全体でセキュリティ対策を行うセキュア・バイ・デザインの考え方に基づき、製品設計・開発段階からのセキュリティ対策についても取り組みを進めてきました。また、アジャイル開発においては、独自の品質保証フレームワークである「SQF」(SHIFT Quality Framework)を活用しながら、スピード感を保ちながら高品質な製品開発・リリースを実現するDevOpsのノウハウを確立しています。
この度、EUサイバーレジリエンス法の成立を受け、SHIFTは「EUサイバーレジリエンス法対応体制構築支援サービス」の提供を新たに開始することとしました。セキュリティ領域におけるセキュア開発やセキュリティ体制構築・運用に関する知見と、アジャイル開発領域におけるDevOpsの知見を組み合わせることで、デジタル製品の製造業者や小売業者におけるスピード感のあるソフトウェアサプライチェーンセキュリティ体制構築を実現します。
EUサイバーレジリエンス法対応体制構築支援サービスについて
EUサイバーレジリエンス法対応体制構築支援サービスは、SCA/SBOMツールの全社導入・運用をはじめとするソフトウェアサプライチェーンセキュリティ体制の構築から運用までをトータルで支援するサービスです。EUサイバーレジリエンス法において、欧州域内で流通するデジタル製品を提供する企業が2027年までに対応を義務づけられている、SCA/SBOMツールの導入運用やPSIRT構築・運用、セキュア製品開発ガイド策定などの取り組みを、開発スピードを損なうことなく段階的に実現します。
■SCA/SBOMツールの導入・運用
SBOMを管理・生成するためのソフトウェアコンポーネント分析(SCA)ツールの導入・運用を行います。
SHIFTのアジャイル・DevOpsの知見を元に、組織・企業の特性を踏まえた最適なSCA/SBOMツールを選定し、SCA/SBOM生成プロセスを自動化することで、SBOM作成・管理を飛躍的に効率化します。また、セキュリティコンサルティングから得た知見を元に、全社展開や本格運用にあたって生じ得る課題を整理し、導入後も自立して運用できる体制構築をサポートします。
■PSIRT構築・仮運用
・脆弱性報告体制の構築
欧州の現地法人や出張所と連携し、当局へ迅速に脆弱性報告を行う体制の構築・運用を支援します。組織体制の構築のみならず、
運用に必要な各種ルールの策定、運用環境の整備、インシデントハンドリングをはじめとする人的スキルの習得についてもサポートします。
・セキュア製品開発ガバナンス体制の構築
製品の設計段階からセキュリティを考慮し、セキュア・バイ・デザインを実践し、製品のセキュア開発プロセスをガバナンスする体制の構築・運用を支援します。
・自社製品ユーザー対応窓口の構築
自社製品に関する脆弱性報告を受け付けたり、ユーザーに適切に情報を提供したりする窓口の構築・運用を支援します。
■セキュア製品開発ガイド策定
・自社製品脆弱性対応プロセスの整備
自社製品に関する重大な脆弱性や、脆弱性の悪用が報告された場合の対応手順や、当局への報告手順、脆弱性開示ポリシーなどをまとめたルールの整備を支援します。
・セキュア製品開発プロセスの整備
セキュリティが担保された製品を開発・保守するための対応手順や、評価手順などをまとめたルールの整備を支援します。
・「EU適合宣言書」「技術文書」テンプレートの作成
製品ごとに作成と公開が義務付けられる「EU適合宣言書」「技術文書」の社内共通テンプレートを作成します。
■サービスに関するお問い合わせ先:https://service.shiftinc.jp/contact/
株式会社SHIFTについて
SHIFTは、金融機関などのエンタープライズ領域におけるミッションクリティカルな基幹システムから、ECサイト、スマートフォン向けのアプリ・ゲーム検証まで幅広い分野のお客様に対するテスト・品質保証サービスで事業基盤をつくり成長を続けてまいりました。現在は、「無駄をなくしたスマートな社会の実現」を目指し、ビジネスの構築からシステ厶の企画、開発、運用、セキュリティやマーケティング領域、さらにはDX推進まで、お客様のITにまつわるあらゆるビジネス課題の解決をご支援しています。
・名称:株式会社SHIFT
・代表:代表取締役社長 丹下 大
・住所:東京都港区麻布台1-3-1 麻布台ヒルズ森JPタワー
・コーポレートサイト:https://www.shiftinc.jp/
・サービスサイト:https://service.shiftinc.jp/