株式会社ヴェス、EUサイバーレジリエンス法（CRA）対応を見据えた 「製品セキュリティ・ライフサイクルコンサルティング」サービスを提供開始

〜　設計・開発から運用・脆弱性対応まで、製品ライフサイクル全体のセキュリティ対策を一気通貫で支援〜

ソフトウェアの第三者検証により企業の品質向上を支援する、株式会社Orchestra Holdingsの子会社である株式会社ヴェス（本社：東京都渋谷区、代表取締役：中村 慶郎、以下ヴェス） は、EUサイバーレジリエンス法（Cyber Resilience Act：以下 CRA）をはじめとした製品セキュリティ関連法規・ガイドラインへの対応を支援する新サービス「製品セキュリティ・ライフサイクルコンサルティング」の提供を開始いたします。本サービスは、製品の企画・設計・開発から、市場投入後の運用・脆弱性管理・インシデント対応まで、製品ライフサイクル全体を対象としたセキュリティ対策を包括的に支援するものです。

■ サービス提供の背景

近年、IoT製品やソフトウェアを含むデジタル製品に対するサイバー攻撃リスクの高まりを受け、各国・地域で製品セキュリティに関する規制強化が進んでいます。

EUにおいては、2024年にEUサイバーレジリエンス法（CRA）が発行され、2026年9月には脆弱性・インシデントの報告義務が開始、2027年12月には全面適用が予定されています。CRAでは、製品の設計・開発段階から運用・脆弱性対応に至るまで、製品ライフサイクル全体でのセキュリティ確保が求められており、厳しい報告義務などが課せられており、従来の「開発時点のみの対策」では不十分となっています。

こうした背景を踏まえ、長年にわたりソフトウェアの品質向上を支援してきたヴェスは、その知見と実績を活かし、“現場で実行できる製品セキュリティ対策”をトータルで支援するサービスとして、本サービスの提供に至りました。

■ サービス概要

「製品セキュリティ・ライフサイクルコンサルティング」は、CRA対応を始めとした、以下の3つの領域を軸として支援を行います。

１．PSIRT構築支援

製品の脆弱性やセキュリティインシデントを、検知から評価・対応、クローズまで一貫してハンドリングするPSIRT機能の構築を支援します。

VDP（脆弱性開示ポリシー）の整備やSBOMを活用した脆弱性管理プロセスの設計を通じて、開発・運用部門が連携し、継続的に運用可能な製品セキュリティ体制を実現します。

２．セキュア開発ライフサイクル構築・導入支援

設計・開発段階からセキュリティを組み込み、製品ライフサイクル全体で脆弱性リスクを低減するセキュア開発ライフサイクル（SDLC）の構築を支援します。

開発プロセスやルールの整備、セキュリティテストやCI/CDへの組込みを通じて、現場で実行可能なセキュリティ対策を定着させます。また規制やガイドラインを見据え、開発と運用が連動する持続可能な製品セキュリティ基盤を実現します。

３．CRA対応プロジェクト推進支援

製品セキュリティ対策や各種規制対応プロジェクトにおいて、計画策定から実行・進捗管理までを横断的に支援するPMOサービスを提供します。

PSIRT構築やセキュア開発プロセス導入など複数施策を統合的に管理し、関係部門間の調整や課題解決を推進します。また現場の実情を踏まえた伴走型の支援により、プロジェクトを確実に前進させ、継続的な運用につなげます。

■ 本サービスの特長

・製品ライフサイクル全体を対象とした一気通貫の支援

・ソフトウェア品質の専門家による、現場目線の実行可能な支援

・CRAをはじめとした法規制要求と、実際の開発・運用プロセスをつなぐ具体的なアプローチ

■ サービス詳細URL

https://www.ves.co.jp/service/sdlc/
※資料ダウンロードも上記ページより可能です。

ヴェスはこれからも、製品ライフサイクル全体を見据えた「品質」と「セキュリティ」の両立を追求し、市場や規制の変化にも臨機応変に対応しながら、企業のソフトウェア品質向上と持続的な事業成長を支援してまいります。