日本ネットワークセキュリティ協会(JNSA)は11月18日、同協会公式サイトの連載「JNSAセキュリティしんだん」に、新たな記事「サプライチェーンの情報セキュリティマネジメントの関連規格と現状」を掲載した。
JNSAセキュリティしんだんは、JNSAの社会活動部会会員による意見を掲載するもので、新たな記事はNTTデータ先端技術株式会社のフェロー/筑波大学客員教授である三宅功氏によるもの。「サプライチェーンの情報セキュリティマネジメント」に関して、国際規格等を参考にその背景、考え方、課題について紹介している。
サプライチェーンの情報セキュリティマネジメントという用語には、「1:一般的なサプライチェーンで利用される情報及び情報システムに対するセキュリティマネジメント」と、「2:ICT製品、サービスのサプライチェーンに対するセキュリティマネジメント」の2つの概念が含まれていると考えられる。
情報セキュリティマネジメントはリスク管理のひとつであるが、何に対するどのような脅威に対応するかという、リスクの中身(コンテキスト)で考えるべきポイントが変わる。例えば、最新のISO/IEC 27002; 2022版では双方の概念が記載されており、また2013版以降に追加されたサプライチェーンに関する規格としてISO/IEC 27036 Part1~Part4、クラウドサービスに関連したISO/IEC 27017, 207018なども、新しいISO/IEC 27002のサプライチェーンに関する管理策と整合性が取られている。
サプライチェーンとは、一般的に「製品やサービス提供のための原材料等の調達、製造・生産、流通、販売から消費までの一連の経済活動を構成する組織間の調達と供給の相互関係を構成しているプロセスとそこで扱われるリソース」としている。
サプライチェーンの情報セキュリティマネジメントは、より一般的に言えば、健全なサプライチェーンを構成、維持するためにはサプライチェーンに係る情報とそれを扱う情報システムの完全性、安全性、品質、レジリエンスなどが求められ、これを達成することといえる。
記事では、達成するために重要なポイントとして、「円滑なサプライチェーン構築のための情報共有」「保護プロセスの共有」「守るべき役割と責任の明確化」「環境やライフサイクルに合わせて更新、変更」を挙げている。いわゆるソフトウェア・サプライチェーンも大きく取り上げており、ソフトウェアのインベントリ情報管理とSBOM、およびクラウドサービス提供側との協力、責任分担についても詳しく紹介している。
これ以外にも多くの視点があり、さまざまな規格、標準が出されつつある。しかし重要なことは、サプライチェーンの情報セキュリティマネジメントは、供給側と調達側が平等な責任を負うこと、そのために必要なプロセスを共有、実践すること。さらに言えば、サプライチェーンを取り巻く環境を理解するいわゆる「状況認識:Context Awareness」の共有が求められているとしている。
サプライチェーンは今後もサイバー攻撃の標的になると考えられ、それだけにサプライチェーンの企業には一定以上のセキュリティレベルが求められる。その要求は徐々に厳しくなっており、特に米国と取引をしている企業はこれらに準拠しないとサプライチェーンに参加できなくなる可能性もある。サプライチェーンリスクを理解し対策に着手するために有効な記事といえるだろう。
