主役になるサプライチェーンのセキュリティリスクと5つの課題

今回は「主役になるサプライチェーンのセキュリティリスクと5つの課題」についてご紹介します。

関連ワード (ビジネス視点で分かるサイバーのリスクとセキュリティ、経営等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。

 「取引先のセキュリティ要求が厳しくなっている」――製造を中心に、企業からこんな声が聞こえてくる。同時に、セキュリティに関連する2022年度の政策のほとんどでキーワードになっているのが、サプライチェーンにおけるセキュリティリスク(以降は「サプライチェーンリスク」)だ。今回は、この増大するサプライチェーンリスクを取り巻く最新の動向を振り返りながら、これからビジネスを作る・守る観点で何ができるのかを考えてみたい。

 近年は、自動車産業での部品メーカーのランサムウェア被害がセットメーカーの工場を稼働停止に追い込んだインシデントに加えて、ソフトウェアサプライチェーン(ソフトウェア製品の開発や更新、保守などにおけるつながり)や業務委託先に起因した医療機関でのランサムウェア被害が続発している。セキュリティリスクがエコシステムや社会全体、そして人命にも影響を及ぼすものになり、サプライチェーンリスクに対する温度感は明らかに高くなっている。

 コロナ禍でのサプライチェーンリスクの高まりを受けて記事を書いた1年半前と比較しても、懸念は一層高まっている。サプライチェーンに起因したセキュリティインシデントを2021年に経験した民間企業や公的機関は、国内に約6割もいるという調査結果もあり、その高い温度感の背景をうかがい知ることができる。

 このような高まるサプライチェーンリスクの温度感の裏返しとして、セキュリティに関連したさまざまな政策の中で共通している点がある。それこそ、サプライチェーンリスクがテーマになっていることだ。その一例が、前回の記事でも取り上げた防衛装備庁の「防衛産業サイバーセキュリティ基準」だ。2022年4月に発表されたもので、米国国立標準技術研究所(NIST)の「SP800-171」レベルのセキュリティを防衛調達において求めるというものである。政府のサイバーセキュリティ戦略本部が発行した「重要インフラのサイバーセキュリティに係る行動計画」(PDF)でも、重要インフラ関連のサプライチェーンに属する事業者も対象となる中で、損害発生時の経営層や監査役の損害賠償責任の明記という形で2022年6月に温度感が変わった。

 経済産業省「サイバーセキュリティ経営ガイドライン」もバージョン3.0への改訂に向けて2022年10~12月にパブリックコメントが募集され、サプライチェーンを含めた取り組みが変更点の1つになっている。また、業種に特化した動きとして、同じく経済産業省から「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」が2022年11月に公開され、ここでも取引先や調達先に対するセキュリティ対策の要請、対策状況の確認が盛り込まれている。

 似たような動きは国内にとどまらない。英国では、国家サイバーセキュリティセンター(NCSC)がサプライチェーン攻撃の深刻化を受けて新たなガイダンスを2022年10月に発表している。米国では、サイバーセキュリティ・社会基盤安全保障庁(CISA)、国家安全保障局(NSA)、国家情報局(ODNI)が合同で「Securing the Software Supply Chain: Recommended Practices」という開発者向け、サプライヤー向け、顧客向けの3本立てのガイダンスを2022年11月に公開した。今、サプライチェーンリスクが世界的にも大きなテーマになっていることに議論の余地はない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
USJが初の“インスタライブ” 休園中でもSNSでコンテンツ発信
企業・業界動向
2021-05-07 16:14
NEC、小売DX企業のTangerineと協業–CX向上と業務効率化目指す
IT関連
2024-11-21 07:48
ノーコードツールAppSheet、Google Workspace有償プランで追加料金なく利用可能に
Google
2023-07-20 20:42
「シェアサイクルと同じサービスに」──実証実験が進む電動キックボードの公道走行、商用化のめどは? 事業者に聞く
くわしく
2021-03-03 06:57
NEC、約150テーマで職場受入型インターンシップを募集–「cotomi」体験など拡充
IT関連
2024-06-05 13:46
Bigtableで分散カウンタ機能が正式に利用可能に。SQLのクエリにも対応
Google
2024-08-06 06:20
楽天ポイントの次世代プラットフォームにNewSQLのTiDBが採用決定。その背景と評価結果を楽天のエンジニアが解説[PR]
PR
2024-02-05 08:22
5万800円の2 in 1タイプChromebook「ASUS Detachable CM3」発売、ペンも収納可能
ハードウェア
2021-03-18 09:47
Amazon S3が「条件付き書き込み」に対応。既にオブジェクトがある場合は上書きせず、分散アプリケーションでの利用が容易に
AWS
2024-08-27 05:22
グーグルのレッドチームが解説する、AIに対する攻撃手法4つ
IT関連
2023-08-19 03:30
マイクロソフトが開発する教師向けAIアシスタント「Shiksha copilot」
IT関連
2023-11-14 11:00
NEC森田社長が明言した「AIエージェントの業績への貢献」
IT関連
2024-11-16 07:27
全体アーキテクチャー構想が開くDXの扉
IT関連
2023-03-15 06:26
GitHub、「Secure Code Game」シーズン2提供–ゲーム形式のセキュリティトレーニング
IT関連
2024-02-18 18:49