ソフトウェアの第三者検証を通じて企業の品質向上を支援する株式会社Orchestra Holdingsの子会社、株式会社ヴェス（東京都渋谷区、代表取締役：中村慶郎）は、EUサイバーレジリエンス法（CRA）をはじめとする製品セキュリティ関連法規やガイドラインへの対応を支援する新サービス「製品セキュリティ・ライフサイクルコンサルティング」の提供を開始した。

同サービスは、製品の企画・設計・開発から、市場投入後の運用、脆弱性管理、インシデント対応に至るまで、製品ライフサイクル全体を対象にセキュリティ対策を包括的に支援するもの。

近年、IoT機器やソフトウェアを含むデジタル製品に対するサイバー攻撃リスクの高まりを背景に、各国・地域で製品セキュリティ規制の強化が進んでいる。EUでは2024年にCRAが公布され、2026年9月から脆弱性・インシデントの報告義務が開始、2027年12月には全面適用が予定されている。こうした規制では、設計・開発段階だけでなく、運用や脆弱性対応を含めたライフサイクル全体でのセキュリティ確保が求められ、従来の開発時点中心の対策では不十分となっている。

こうした環境変化を受け、ヴェスはこれまで培ってきたソフトウェア品質向上の知見を活かし、現場で実行可能な製品セキュリティ対策を一体的に支援するサービスとして本サービスを立ち上げた。

サービスは主に3領域で構成される。第一に、PSIRT（Product Security Incident Response Team）の構築支援では、SBOM整備やインシデント対応方針の策定、訓練まで含め、実効性のあるインシデント対応体制を構築。VDP（脆弱性開示ポリシー）の整備やSBOMを活用した脆弱性管理プロセス設計により、開発と運用が連携した継続的な体制を実現する。

第二に、セキュア開発ライフサイクル（SDLC）の構築・導入支援では、Security by Designの考え方に基づき、脅威分析やセキュリティ要件定義、脆弱性管理を含む開発プロセスを整備。ＣＩ／ＣＤへのセキュリティ組み込みなどを通じ、現場で定着可能な対策を実装する。

第三に、CRA対応プロジェクト推進支援として、ポリシー策定や役割定義、PMO支援を通じ、部門横断での対応体制構築を支援。複数施策を統合的に管理し、関係部門間の調整や課題解決を促進する伴走型支援により、継続的な運用につなげる。

同サービスの特長として、製品ライフサイクル全体を対象とした一貫支援、ソフトウェア品質の専門家による現場目線の実行支援、法規制要求と実務プロセスを結び付ける具体的アプローチを掲げている。

引用元記事：https://www.asahi.com/and/pressrelease/16376830