サプライチェーンのセキュリティマネジメントの現状 | ScanNetSecurity
2023.02.07(火)

サプライチェーンのセキュリティマネジメントの現状

JNSAは、「JNSAセキュリティしんだん」に新たな記事「サプライチェーンの情報セキュリティマネジメントの関連規格と現状」を掲載した。

製品・サービス・業界動向 業界動向

 日本ネットワークセキュリティ協会(JNSA)は11月18日、同協会公式サイトの連載「JNSAセキュリティしんだん」に、新たな記事「サプライチェーンの情報セキュリティマネジメントの関連規格と現状」を掲載した。

 JNSAセキュリティしんだんは、JNSAの社会活動部会会員による意見を掲載するもので、新たな記事はNTTデータ先端技術株式会社のフェロー/筑波大学客員教授である三宅功氏によるもの。「サプライチェーンの情報セキュリティマネジメント」に関して、国際規格等を参考にその背景、考え方、課題について紹介している。

 サプライチェーンの情報セキュリティマネジメントという用語には、「1:一般的なサプライチェーンで利用される情報及び情報システムに対するセキュリティマネジメント」と、「2:ICT製品、サービスのサプライチェーンに対するセキュリティマネジメント」の2つの概念が含まれていると考えられる。

 情報セキュリティマネジメントはリスク管理のひとつであるが、何に対するどのような脅威に対応するかという、リスクの中身(コンテキスト)で考えるべきポイントが変わる。例えば、最新のISO/IEC 27002; 2022版では双方の概念が記載されており、また2013版以降に追加されたサプライチェーンに関する規格としてISO/IEC 27036 Part1~Part4、クラウドサービスに関連したISO/IEC 27017, 207018なども、新しいISO/IEC 27002のサプライチェーンに関する管理策と整合性が取られている。

 サプライチェーンとは、一般的に「製品やサービス提供のための原材料等の調達、製造・生産、流通、販売から消費までの一連の経済活動を構成する組織間の調達と供給の相互関係を構成しているプロセスとそこで扱われるリソース」としている。

 サプライチェーンの情報セキュリティマネジメントは、より一般的に言えば、健全なサプライチェーンを構成、維持するためにはサプライチェーンに係る情報とそれを扱う情報システムの完全性、安全性、品質、レジリエンスなどが求められ、これを達成することといえる。

 記事では、達成するために重要なポイントとして、「円滑なサプライチェーン構築のための情報共有」「保護プロセスの共有」「守るべき役割と責任の明確化」「環境やライフサイクルに合わせて更新、変更」を挙げている。いわゆるソフトウェア・サプライチェーンも大きく取り上げており、ソフトウェアのインベントリ情報管理とSBOM、およびクラウドサービス提供側との協力、責任分担についても詳しく紹介している。

 これ以外にも多くの視点があり、さまざまな規格、標準が出されつつある。しかし重要なことは、サプライチェーンの情報セキュリティマネジメントは、供給側と調達側が平等な責任を負うこと、そのために必要なプロセスを共有、実践すること。さらに言えば、サプライチェーンを取り巻く環境を理解するいわゆる「状況認識:Context Awareness」の共有が求められているとしている。

 サプライチェーンは今後もサイバー攻撃の標的になると考えられ、それだけにサプライチェーンの企業には一定以上のセキュリティレベルが求められる。その要求は徐々に厳しくなっており、特に米国と取引をしている企業はこれらに準拠しないとサプライチェーンに参加できなくなる可能性もある。サプライチェーンリスクを理解し対策に着手するために有効な記事といえるだろう。

《吉澤 亨史( Kouji Yoshizawa )》

特集

PageTop

アクセスランキング

  1. ファイル誤添付メール送信で戒告の懲戒処分

    ファイル誤添付メール送信で戒告の懲戒処分

  2. 教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

    教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

  3. 不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

    不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

  4. 三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

    三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

  5. 尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

    尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

  6. 給油所でシステム障害発生 8時間給油停止に

    給油所でシステム障害発生 8時間給油停止に

  7. チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

    チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

  8. 東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示

    東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示

  9. 「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

    「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

  10. WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

    WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

ランキングをもっと見る