ヴェス（東京都渋谷区、代表取締役：中村慶郎）は、EUサイバーレジリエンス法（CRA）をはじめとする製品セキュリティ関連法規・ガイドラインへの対応を支援する新サービス「製品セキュリティ・ライフサイクルコンサルティング」の提供を開始した。ヴェスはOrchestra Holdingsの子会社で、ソフトウェアの第三者検証を通じて企業の品質向上を支援している。

本サービスは、製品の企画・設計・開発から、市場投入後の運用、脆弱性管理、インシデント対応まで、製品ライフサイクル全体を対象にセキュリティ対策を一気通貫で支援する。

サービス提供の背景

IoT製品やソフトウェアを含むデジタル製品へのサイバー攻撃リスクが高まる中、各国・地域で製品セキュリティ規制の強化が進んでいる。

EUではEUサイバーレジリエンス法（CRA）が2024年に発行され、2026年9月から脆弱性・インシデントの報告義務が開始、2027年12月には全面適用が予定されている。同法では、設計・開発段階から運用・脆弱性対応に至るまで、製品ライフサイクル全体でのセキュリティ確保と厳格な報告義務が求められる。

従来の「開発時のみの対策」では不十分となる中、ヴェスは長年培ってきたソフトウェア品質向上支援の知見を活かし、現場で実行可能な製品セキュリティ対策を包括的に支援するサービスとして本サービスを立ち上げた。

サービス概要

本サービスは、CRA対応を軸に、以下の3領域で支援を行う。

1．PSIRT構築支援

CRAなどで求められるインシデント検知・対応・報告体制の整備を目的に、PSIRT（Product Security Incident Response Team）の構築を支援。

SBOM整備、インシデント対応方針やエスカレーションルールの策定、訓練・演習まで含め、実効性のある体制を整備する。検知から評価、対応、クローズまで一貫して管理できる仕組みづくりを推進するほか、VDP（脆弱性開示ポリシー）整備やSBOMを活用した脆弱性管理プロセス設計を通じ、開発・運用部門が連携する継続的運用体制を構築する。

2．セキュア開発ライフサイクル構築・導入支援

企画・設計から開発、テスト、運用までを対象に、Security by Designを前提としたセキュア開発プロセスを構築。

脅威分析、セキュリティ要件定義、脆弱性管理を含め、CRA準拠の開発体制確立を支援する。設計段階からセキュリティを組み込み、ライフサイクル全体でリスク低減を図るSDLCを構築。開発プロセス整備やセキュリティテストの導入、ＣＩ／ＣＤへの組み込みなどを通じて、現場で定着可能な対策を実現する。

3．CRA対応プロジェクト推進支援

CRA対応に向けた全社横断プロジェクトを支援。

ポリシー策定や役割定義、PMO支援を通じ、継続的な遵守・文書化・監査対応が可能な体制を整備する。PSIRT構築やセキュア開発導入など複数施策を統合管理し、関係部門間の調整や課題解決を伴走型で支援する。

サービスの特長

• 製品ライフサイクル全体を対象とした一気通貫支援

• ソフトウェア品質専門企業による現場目線の実行支援

• CRAなど法規制要求と実務プロセスをつなぐ具体的アプローチ

ヴェスは今後も、製品ライフサイクル全体を見据えた「品質」と「セキュリティ」の両立を追求し、規制や市場環境の変化に対応しながら企業の持続的成長を支援していく方針だ。

引用元記事：https://www.jiji.com/jc/article?k=000000035.000139307&g=prt