サイバートラスト、AI時代の重要インフラサプライチェーン向けトラスト基盤の実現に向けた構想を発表

サイバートラスト株式会社（本社：東京都港区、代表取締役社長：北村 裕司　以下、サイバートラスト）は、AI時代における重要インフラのITインフラ運用を支えるため、「AI時代の重要インフラサプライチェーン向けトラスト基盤構想」（以下、本構想）を発表します。

本構想は、AIの信頼性はソフトウェアの透明性（プラットフォームサービス）とデータの真正性（トラストサービス）により高められるという考えのもと、サイバートラストが創業以来提供してきた2つの主要サービスを融合させ、重要インフラ事業者がAI時代にあってもITインフラを安全かつ継続的に運用管理できる基盤の実現を目指すものです。

本構想の第一弾として、サイバートラストはDark Sky Technology, Inc.（本社：米国コロラド州フォートコリンズ、CEO：Michael Mehlberg　以下、Dark Sky）と協業し、重要ITシステムおよび組込み製品向けに、「OSS適合証明サービス」を2026年9月以降、順次提供する予定です。
本サービスでは、OSS受入基準の整備、SBOMおよびOSS構成情報の評価、脆弱性対応判断、監査・顧客説明向けレポート作成を支援します。

■本構想の背景

ソフトウェア開発・運用の現場では、コード生成やOSSの追加・修正候補の提示、運用作業におけるAIの活用が広がっています。
一方で、重要インフラでは、AIが生成・提案したコードや設定変更、OSSの追加をそのまま利用することはできません。利用するソフトウェアの構成、OSSの出所や保守状況、脆弱性対応の判断根拠、変更履歴や証跡を継続的に確認し、説明できる運用が求められます。

AI活用が進むほど、重要インフラ事業者には、AIを支えるソフトウェア基盤とOSS利用状況を継続的に管理する仕組みが必要になります。

国内では、経済産業省および内閣官房国家サイバー統括室が2026年3月に「サイバーインフラ事業者に求められる役割等に関するガイドライン」を策定し、ソフトウェアの開発・供給・運用を担う事業者とその顧客が、サプライチェーン全体でセキュリティ確保の役割を認識するための考え方を示しています※1。

サイバートラストは、こうした市場環境と国内外のガイドラインを踏まえ、AI時代の重要インフラに求められるITインフラの継続的な運用管理を支援するため、本構想を推進します。

■トラスト基盤構想について

本構想におけるトラスト基盤とは、重要インフラを支えるITインフラ、OS、OSS、ソフトウェア構成情報、脆弱性対応、運用証跡を、ライフサイクル全体で継続的に管理する考え方です。
AI時代には、ソフトウェアの開発・運用が高速化する一方で、利用するOSS、生成されるコード、適用される修正、運用上の判断について、継続的に説明できる状態を維持する必要があります。
また、AIエージェントやAIにより生成されるデータの活用が進む中、認証・認可やデータ真正性に関する国際的な標準化の議論が進んでいます。特に重要インフラ領域では、ICAM、ABAC、IPSIE※2 などへの対応も重要になります。

サイバートラストは、MIRACLE LINUX、AlmaLinux、EMLinuxなどを通じて培ってきたLinux/OSSの長期保守、組込みLinux開発、OSSコミュニティへの還流、SBOM運用の知見を活用し、さらに、トラストサービスで提供してきた認証・認可やデータ真正性に関わる知見を一体化することで、AI時代の重要インフラに求められるトラスト基盤の実現を目指します。

■第一弾：Dark Sky Technologyとの協業

本構想の第一弾として、サイバートラストはDark Skyと協業し、重要インフラ向けにOSSの安全かつ継続的な運用を支援します。
本サービスでは、Dark Skyのソフトウェアサプライチェーンセキュリティプラットフォーム「Bulletproof Trust」と、サイバートラストが持つLinux/OSS長期保守、組込みLinux開発、SBOM運用、国内サポートの知見を組み合わせます。

Bulletproof Trustは、SBOM管理、OSSパッケージの健全性評価および依存関係のリスク評価、脅威インテリジェンス、監査証跡管理を支援します。これにより、OSS利用開始前に各パッケージの健全性を確認することで開発環境を常に安全な状態にします。また、開発開始後からリリース後の運用まで、OSSリスクを継続的に評価・管理する運用を実現します。

サイバートラストは、国内顧客向けの導入支援、OSS運用設計、監査・顧客説明支援を担います。 両社はそれぞれの知見を組み合わせ、重要インフラでOSSの安全かつ継続的な運用を支援します。

■OSS適合証明サービスについて

「OSS適合証明サービス」とは、OSSを単に利用するのではなく、利用前・利用中・脆弱性発生時に、OSSの利用可否や対応方針を判断し、その根拠を説明できる状態で運用することを支援するサービスです。

本サービスでは、主に以下を支援します。

OSS受入基準・運用ポリシーの整備

SBOMおよびOSS構成情報の評価

OSSの保守状況、脆弱性、ライセンス、開発コミュニティリスクの確認

脆弱性対応の優先度整理

例外判断、利用継続判断の根拠整理

監査・顧客説明向けレポート作成支援

SBOMを作成するだけでは、OSSを安全に運用しているとは言えません。重要なのは、SBOMやOSS構成情報をもとに、利用してよいOSS、追加審査が必要なOSS、利用を避けるべきOSS、例外的に許容するOSSを判断し、その理由を残すことです。サイバートラストとDark Skyは、この運用を「OSS適合証明サービス」と位置づけ、重要ITシステムや組込み製品に関わるプライムベンダー向けに提供していきます。

■今後の展開

サイバートラストは、本構想を軸に、重要インフラサプライチェーンに向けたトラスト基盤の取り組みを段階的に拡大します。
まず、Dark Skyとの協業を通じて、重要ITシステムや組込み製品に関わるプライムベンダー向けに、OSS受入基準の整備、SBOM評価、脆弱性対応判断、監査レポート支援などのサービス化を進めます。

重要ITシステム向けには、既存の開発・運用環境を前提に、まずOSS受入評価、構成情報評価、監査説明支援から開始し、必要に応じて自動化への拡張を検討します。

組込み製品向けには、EMLinuxやEMLinuxカスタムメンテナンスサービスとの連携を視野に、CI、ビルド成果物管理、テスト結果管理など、開発・運用プロセスに関わる情報管理への拡張を検討します。

将来的には、AI生成コードや修正候補のレビュー、検出された脆弱性について実環境での影響有無や対応要否を整理する仕組み、署名付き証跡なども視野に入れ、AI時代に重要インフラ事業者がOSSを安全に利用し続けるための運用管理基盤の実現を目指します。また、認証・認可やデータ真正性に関する標準化動向を踏まえたトラストサービスの提供も進めてまいります。

■コメント

サイバートラスト株