全6157文字
PR

 ICT製品のサプライヤーやサードパーティー(サプライヤーのサプライヤー)が経済活動を行う上で、サプライチェーンのセキュリティー対策は欠かせない。その核心となるのが、リスクの解決である。エンドユーザーの製品とサービスの完全性、安全性、品質、柔軟性を担保する必要がある。主な項目を以下に示す。

  • サプライチェーン攻撃による機密情報の窃取防止
  • サプライチェーンやサードパーティーへの攻撃によるマルウエア侵入やバックドア設置の防止
  • 開発や設計における不良製品(セキュリティーホールなど)の防止
  • サプライチェーンのセキュリティーリスクの検出と監視
  • サプライヤーの製品に不正なものが埋め込まれていないかどうかの識別と評価
図1 グローバルサプライチェーンセキュリティーに関連するセキュリティー基準
図1 グローバルサプライチェーンセキュリティーに関連するセキュリティー基準
出典:工研院産業科技国際策略発展所
[画像のクリックで拡大表示]

企業のサイバーセキュリティーとサプライチェーンの管理

 企業が製品やサービスを安全に開発していくためのセキュリティー対策として、全ライフサイクルにおいて自主管理を実施し、弱点の軽減と脆弱性の修正に努める必要がある。企業システムのセキュリティー対策を導入する方法としては、ISO(国際標準化機構)とIEC(国際電気標準会議)による国際規格「ISO/IEC 27001」などがある。現在のような絶えず変化する状況に合わせて標準やフレームワークの基礎を構築することが可能になり、完全な情報セキュリティーマネジメントシステム(ISMS)を制定できる。IEC 62443(旧ISA99)は、産業用制御システム(ICS)における情報セキュリティーの国際標準規格で、ITとOT(制御・運用技術)を完全に融合したサイバーセキュリティーマネジメントシステム(CSMS)となる。

サプライヤーの安全性評価

 ICT製品のシステム開発の全ライフサイクルにおける、サプライチェーンリスクマネジメント(SCRM)の実務的な方法として、調達側がガイドラインを提供し、リスクの評価と管理を行うプロセスを作り出し、解決可能な脅威事件をリストアップすると同時に、脅威に対する評価やリスク軽減対策を確定するというものがある。米国のNIST(米国立標準技術研究所)は2015年、民間企業と連携することで、ICTのSCRMのツールと指標に関する研究と開発を行い、連邦政府に対し、初めてのサプライチェーン情報セキュリティーの標準となるNIST SP 800-161ガイドラインを策定した。その後、NIST SP 800-171ガイドラインも策定している。

 例えば米国防総省(DoD)はNIST SP 800-171に基づいて、サプライチェーンのサイバーセキュリティー成熟度モデル認証(Cybersecurity Maturity Model Certification:CMMC)を推奨している。これは主に企業がネットワークセキュリティーの導入とプロセス管理において、ある程度のセキュリティー成熟度を持っていることを独自に証明するものである。この認証は、セキュリティー管理レベルとプロセス成熟度レベルを確立し、政府や業界によって承認された認証ユニットプロバイダーによって独自に審査され、会社が必要な成熟度レベルに達していることを検証する。そのほか、CMMC要件に関しては、2020年の第3期から約10年間の入札に含まれ、5~6年以内に全面的に導入されるだろう。