サプライチェーンのセキュリティマネジメントの現状 | ScanNetSecurity
2024.02.28(水)

サプライチェーンのセキュリティマネジメントの現状

JNSAは、「JNSAセキュリティしんだん」に新たな記事「サプライチェーンの情報セキュリティマネジメントの関連規格と現状」を掲載した。

製品・サービス・業界動向 業界動向

 日本ネットワークセキュリティ協会(JNSA)は11月18日、同協会公式サイトの連載「JNSAセキュリティしんだん」に、新たな記事「サプライチェーンの情報セキュリティマネジメントの関連規格と現状」を掲載した。

 JNSAセキュリティしんだんは、JNSAの社会活動部会会員による意見を掲載するもので、新たな記事はNTTデータ先端技術株式会社のフェロー/筑波大学客員教授である三宅功氏によるもの。「サプライチェーンの情報セキュリティマネジメント」に関して、国際規格等を参考にその背景、考え方、課題について紹介している。

 サプライチェーンの情報セキュリティマネジメントという用語には、「1:一般的なサプライチェーンで利用される情報及び情報システムに対するセキュリティマネジメント」と、「2:ICT製品、サービスのサプライチェーンに対するセキュリティマネジメント」の2つの概念が含まれていると考えられる。

 情報セキュリティマネジメントはリスク管理のひとつであるが、何に対するどのような脅威に対応するかという、リスクの中身(コンテキスト)で考えるべきポイントが変わる。例えば、最新のISO/IEC 27002; 2022版では双方の概念が記載されており、また2013版以降に追加されたサプライチェーンに関する規格としてISO/IEC 27036 Part1~Part4、クラウドサービスに関連したISO/IEC 27017, 207018なども、新しいISO/IEC 27002のサプライチェーンに関する管理策と整合性が取られている。

 サプライチェーンとは、一般的に「製品やサービス提供のための原材料等の調達、製造・生産、流通、販売から消費までの一連の経済活動を構成する組織間の調達と供給の相互関係を構成しているプロセスとそこで扱われるリソース」としている。

 サプライチェーンの情報セキュリティマネジメントは、より一般的に言えば、健全なサプライチェーンを構成、維持するためにはサプライチェーンに係る情報とそれを扱う情報システムの完全性、安全性、品質、レジリエンスなどが求められ、これを達成することといえる。

 記事では、達成するために重要なポイントとして、「円滑なサプライチェーン構築のための情報共有」「保護プロセスの共有」「守るべき役割と責任の明確化」「環境やライフサイクルに合わせて更新、変更」を挙げている。いわゆるソフトウェア・サプライチェーンも大きく取り上げており、ソフトウェアのインベントリ情報管理とSBOM、およびクラウドサービス提供側との協力、責任分担についても詳しく紹介している。

 これ以外にも多くの視点があり、さまざまな規格、標準が出されつつある。しかし重要なことは、サプライチェーンの情報セキュリティマネジメントは、供給側と調達側が平等な責任を負うこと、そのために必要なプロセスを共有、実践すること。さらに言えば、サプライチェーンを取り巻く環境を理解するいわゆる「状況認識:Context Awareness」の共有が求められているとしている。

 サプライチェーンは今後もサイバー攻撃の標的になると考えられ、それだけにサプライチェーンの企業には一定以上のセキュリティレベルが求められる。その要求は徐々に厳しくなっており、特に米国と取引をしている企業はこれらに準拠しないとサプライチェーンに参加できなくなる可能性もある。サプライチェーンリスクを理解し対策に着手するために有効な記事といえるだろう。

《吉澤 亨史( Kouji Yoshizawa )》

特集

PageTop

アクセスランキング

  1. ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

    ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

  2. エレコム製無線 LAN ルータに複数の脆弱性

    エレコム製無線 LAN ルータに複数の脆弱性

  3. 「UTM 理解していない」半数

    「UTM 理解していない」半数

  4. JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

    JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

  5. ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

    ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

  6. ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

    ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

  7. 「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開

    「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開PR

  8. 到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

    到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割PR

  9. Google & 米Yahoo! の迷惑メール対策強化について~ JPAAWG 緊急ウェビナーで喫緊課題への具体的な疑問が続出

    Google & 米Yahoo! の迷惑メール対策強化について~ JPAAWG 緊急ウェビナーで喫緊課題への具体的な疑問が続出

  10. 個人情報保護ルールを「あまり/まったく守れていない」のは部課長が最多

    個人情報保護ルールを「あまり/まったく守れていない」のは部課長が最多

ランキングをもっと見る