サプライチェーンのセキュリティマネジメントの現状 | ScanNetSecurity
2024.04.16(火)

サプライチェーンのセキュリティマネジメントの現状

JNSAは、「JNSAセキュリティしんだん」に新たな記事「サプライチェーンの情報セキュリティマネジメントの関連規格と現状」を掲載した。

製品・サービス・業界動向 業界動向

 日本ネットワークセキュリティ協会(JNSA)は11月18日、同協会公式サイトの連載「JNSAセキュリティしんだん」に、新たな記事「サプライチェーンの情報セキュリティマネジメントの関連規格と現状」を掲載した。

 JNSAセキュリティしんだんは、JNSAの社会活動部会会員による意見を掲載するもので、新たな記事はNTTデータ先端技術株式会社のフェロー/筑波大学客員教授である三宅功氏によるもの。「サプライチェーンの情報セキュリティマネジメント」に関して、国際規格等を参考にその背景、考え方、課題について紹介している。

 サプライチェーンの情報セキュリティマネジメントという用語には、「1:一般的なサプライチェーンで利用される情報及び情報システムに対するセキュリティマネジメント」と、「2:ICT製品、サービスのサプライチェーンに対するセキュリティマネジメント」の2つの概念が含まれていると考えられる。

 情報セキュリティマネジメントはリスク管理のひとつであるが、何に対するどのような脅威に対応するかという、リスクの中身(コンテキスト)で考えるべきポイントが変わる。例えば、最新のISO/IEC 27002; 2022版では双方の概念が記載されており、また2013版以降に追加されたサプライチェーンに関する規格としてISO/IEC 27036 Part1~Part4、クラウドサービスに関連したISO/IEC 27017, 207018なども、新しいISO/IEC 27002のサプライチェーンに関する管理策と整合性が取られている。

 サプライチェーンとは、一般的に「製品やサービス提供のための原材料等の調達、製造・生産、流通、販売から消費までの一連の経済活動を構成する組織間の調達と供給の相互関係を構成しているプロセスとそこで扱われるリソース」としている。

 サプライチェーンの情報セキュリティマネジメントは、より一般的に言えば、健全なサプライチェーンを構成、維持するためにはサプライチェーンに係る情報とそれを扱う情報システムの完全性、安全性、品質、レジリエンスなどが求められ、これを達成することといえる。

 記事では、達成するために重要なポイントとして、「円滑なサプライチェーン構築のための情報共有」「保護プロセスの共有」「守るべき役割と責任の明確化」「環境やライフサイクルに合わせて更新、変更」を挙げている。いわゆるソフトウェア・サプライチェーンも大きく取り上げており、ソフトウェアのインベントリ情報管理とSBOM、およびクラウドサービス提供側との協力、責任分担についても詳しく紹介している。

 これ以外にも多くの視点があり、さまざまな規格、標準が出されつつある。しかし重要なことは、サプライチェーンの情報セキュリティマネジメントは、供給側と調達側が平等な責任を負うこと、そのために必要なプロセスを共有、実践すること。さらに言えば、サプライチェーンを取り巻く環境を理解するいわゆる「状況認識:Context Awareness」の共有が求められているとしている。

 サプライチェーンは今後もサイバー攻撃の標的になると考えられ、それだけにサプライチェーンの企業には一定以上のセキュリティレベルが求められる。その要求は徐々に厳しくなっており、特に米国と取引をしている企業はこれらに準拠しないとサプライチェーンに参加できなくなる可能性もある。サプライチェーンリスクを理解し対策に着手するために有効な記事といえるだろう。

《吉澤 亨史( Kouji Yoshizawa )》

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  3. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  6. 警察庁、サイバー事案通報の統一窓口を設置

    警察庁、サイバー事案通報の統一窓口を設置

  7. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

    委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

  8. チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

    チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

  9. マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

    マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

  10. 転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

    転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

ランキングをもっと見る