PR

 「新たな脅威であるサプライチェーンリスクが迫っている。企業は必要な対策が取れているだろうか」。日本シーサート協議会副運営委員長/Software ISACリーダーの萩原健太氏は2019年6月10日、都内で開催された「情報セキュリティマネジメントSummit 2019 Summer」(主催:日経コンピュータ)の基調講演で来場者にこう問いかけた。

日本シーサート協議会副運営委員長/Software ISACリーダーの萩原健太氏
日本シーサート協議会副運営委員長/Software ISACリーダーの萩原健太氏
[画像のクリックで拡大表示]

 サプライチェーンとは、製品やサービスが原料の段階から消費者の手に届くまでの一連の流れを示す。サプライチェーンリスクとは例えば、委託先からの納品物へのマルウエア混入や、自社からの取引先の情報流出、委託元のサーバーへのメール攻撃など多岐にわたる。

 サプライチェーンにおけるセキュリティー対策は参加するプレーヤーが多く、リスクが潜む階層も複雑になるため、抜本的な対策が難しい。萩原氏は企業ができることの1つとして「xSIRT(セキュリティー・インシデント・レスポンス・チーム)」の設置を挙げた。xにはコンピューター(Computer)の「C」や製品・サービス(Product)の「P」、工場(Factory/Manufacture)の「F/M」が入り、対応する部門に応じてCSIRTやPSIRTと呼ばれる。

 萩原氏は「本来は部門横串が望ましいが、まずは部門別でもよいので専門チームを作ってセキュリティー対策の基点となる場所を確保することが重要」と話した。世界中のCSIRTなどで構成される組織「FIRST(Forum of Incident Response and Security Teams)」が提供する「PSIRT Service Framework」などのフレームワークを活用する方法を挙げた。

 「とはいえxSIRTはあくまで組織のセキュリティー向上のきっかけだ」(萩原氏)。同氏は「チームを作ること自体が目的になっている場合も少なくない」と指摘する。サプライチェーンに潜むリスクに対処するためには組織全体を理解する必要があり、「セキュリティーチームを中心に部門横串で、BCM(事業継続マネジメント)の一環として考えていく必要がある」と話し、講演を締めくくった。