AI時代の重要インフラサプライチェーン向けトラスト基盤構想を発表

　サイバートラストは、AI時代でITインフラの運用を支えるため「AI時代の重要インフラサプライチェーン向けトラスト基盤構想」を発表した。

　同構想は、AIの信頼性はソフトウェアの透明性（プラットフォームサービス）とデータの真正性（トラストサービス）により高められるという考えのもと、同社が創業以来提供してきた2つの主要サービスを融合し、インフラ事業者がAI時代でもITインフラを安全かつ継続的に運用し、管理できる基盤の実現を目指すもの。

　その第1弾として、Dark Sky Technologyと協業し、ITシステムおよび組み込み製品向けの「OSS適合証明サービス」を9月以降、順次提供予定。同サービスでは、OSS受け入れ基準の整備、SBOMおよびOSSの構成情報の評価、脆弱性の対応判断、監査・顧客説明向けのレポート作成を支援する。

Dark Sky Technologyとの協業

　第1弾の「OSS適合証明サービス」では、重要インフラ向けにOSSの安全かつ継続的な運用を支援するため、Dark Skyのソフトウェアサプライチェーンセキュリティプラットフォーム「Bulletproof Trust」と、サイバートラストが持つLinux/OSS長期保守、組込みLinux開発、SBOM運用、国内サポートの知見を組み合わせる。

　Bulletproof Trustでは、SBOM管理、OSSパッケージの健全性評価および依存関係のリスク評価、脅威インテリジェンス、監査証跡管理をサポートする。

トラスト基盤構想

　同構想でのトラスト基盤では、重要インフラを支えるITインフラ、OS、OSS、ソフトウェア構成情報、脆弱性対応、運用証跡を、ライフサイクル全体で継続的に管理する。

　AI時代は、ソフトウェアの開発・運用が高速化する一方、利用するOSS、生成コード、適用される修正、運用上の判断について、継続的に説明できる状態を維持する必要がある。

　また、AIエージェントやAIによって生成されるデータの活用が進む中、認証・認可やデータ真正性に関する国際的な標準化の議論が進んでいます。特に重要インフラ領域では、ICAM、ABAC、IPSIEなどへの対応も不可欠となる。

OSS適合証明サービス

　OSS適合証明サービスとは、OSSを単に利用するだけでなく、利用前・利用中・脆弱性発生時に、OSSの利用可否や対応方針を判断し、その根拠を説明できる状態で運用できるようにするもの。同サービスでは、主に以下を支援する。

• OSS受け入れ基準・運用ポリシーの整備
• SBOMおよびOSS構成情報の評価
• OSSの保守状況、脆弱性、ライセンス、開発コミュニティリスクの確認
• 脆弱性対応の優先度整理
• 例外判断、利用継続判断の根拠整理
• 監査・顧客説明向けレポート作成支援

今後の展開

　同社では、今回の構想を軸に、重要インフラサプライチェーン向けのトラスト基盤の取り組みを段階的に拡大。Dark Skyとの協業を通じて、重要ITシステムや組込み製品に関わるプライムベンダー向けに、OSS受け入れ基準の整備や、監査レポート支援などのサービス化を進める。

　重要ITシステム向けには、既存の開発・運用環境を前提に、OSS受け入れ評価、構成情報評価、監査説明支援から開始し、必要に応じて自動化への拡張を検討する。

　組込み製品向けには、EMLinuxやEMLinuxカスタムメンテナンスサービスとの連携を視野に、CI、ビルド成果物管理、テスト結果管理といった開発・運用プロセスに関わる情報管理の拡張を検証する。

　将来的には、AI生成コードや修正候補のレビュー、検出された脆弱性について実環境での影響有無や対応要否を整理する仕組み、署名付き証跡なども視野に入れ、AI時代に重要インフラ事業者がOSSを安全に利用し続けるための運用管理基盤の実現を目指す。また、認証・認可やデータ真正性に関する標準化動向を踏まえたトラストサービスの提供も進めていくとしている。