主役になるサプライチェーンのセキュリティリスクと5つの課題

今回は「主役になるサプライチェーンのセキュリティリスクと5つの課題」についてご紹介します。

関連ワード (ビジネス視点で分かるサイバーのリスクとセキュリティ、経営等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。

 「取引先のセキュリティ要求が厳しくなっている」――製造を中心に、企業からこんな声が聞こえてくる。同時に、セキュリティに関連する2022年度の政策のほとんどでキーワードになっているのが、サプライチェーンにおけるセキュリティリスク(以降は「サプライチェーンリスク」)だ。今回は、この増大するサプライチェーンリスクを取り巻く最新の動向を振り返りながら、これからビジネスを作る・守る観点で何ができるのかを考えてみたい。

 近年は、自動車産業での部品メーカーのランサムウェア被害がセットメーカーの工場を稼働停止に追い込んだインシデントに加えて、ソフトウェアサプライチェーン(ソフトウェア製品の開発や更新、保守などにおけるつながり)や業務委託先に起因した医療機関でのランサムウェア被害が続発している。セキュリティリスクがエコシステムや社会全体、そして人命にも影響を及ぼすものになり、サプライチェーンリスクに対する温度感は明らかに高くなっている。

 コロナ禍でのサプライチェーンリスクの高まりを受けて記事を書いた1年半前と比較しても、懸念は一層高まっている。サプライチェーンに起因したセキュリティインシデントを2021年に経験した民間企業や公的機関は、国内に約6割もいるという調査結果もあり、その高い温度感の背景をうかがい知ることができる。

 このような高まるサプライチェーンリスクの温度感の裏返しとして、セキュリティに関連したさまざまな政策の中で共通している点がある。それこそ、サプライチェーンリスクがテーマになっていることだ。その一例が、前回の記事でも取り上げた防衛装備庁の「防衛産業サイバーセキュリティ基準」だ。2022年4月に発表されたもので、米国国立標準技術研究所(NIST)の「SP800-171」レベルのセキュリティを防衛調達において求めるというものである。政府のサイバーセキュリティ戦略本部が発行した「重要インフラのサイバーセキュリティに係る行動計画」(PDF)でも、重要インフラ関連のサプライチェーンに属する事業者も対象となる中で、損害発生時の経営層や監査役の損害賠償責任の明記という形で2022年6月に温度感が変わった。

 経済産業省「サイバーセキュリティ経営ガイドライン」もバージョン3.0への改訂に向けて2022年10~12月にパブリックコメントが募集され、サプライチェーンを含めた取り組みが変更点の1つになっている。また、業種に特化した動きとして、同じく経済産業省から「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」が2022年11月に公開され、ここでも取引先や調達先に対するセキュリティ対策の要請、対策状況の確認が盛り込まれている。

 似たような動きは国内にとどまらない。英国では、国家サイバーセキュリティセンター(NCSC)がサプライチェーン攻撃の深刻化を受けて新たなガイダンスを2022年10月に発表している。米国では、サイバーセキュリティ・社会基盤安全保障庁(CISA)、国家安全保障局(NSA)、国家情報局(ODNI)が合同で「Securing the Software Supply Chain: Recommended Practices」という開発者向け、サプライヤー向け、顧客向けの3本立てのガイダンスを2022年11月に公開した。今、サプライチェーンリスクが世界的にも大きなテーマになっていることに議論の余地はない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
旭化成グループ、防災情報システムを21都府県で運用開始
IT関連
2023-03-14 07:40
史上最高のQBトム・ブレイディ氏のセレブNFTスタートアップ「Autograph」がトップ暗号資産投資家から193.5億円調達
IT関連
2022-01-21 06:25
3年で進んだヤマト運輸のデータドリブンな組織運営(後編)
IT関連
2023-03-03 00:08
【コラム】バイデン政権はインクルーシブであるためにAI開発の取り組みにもっと力を入れる必要がある
パブリック / ダイバーシティ
2021-04-30 20:57
WebAssembly製のx86仮想マシン、Webブラウザ上でLinux GUIデスクトップ環境を実行可能に。「WebVM 2.0」が登場
Linux
2024-11-18 07:27
ジェネシスクラウド、大阪進出や生成AIの展開を発表
IT関連
2023-10-07 23:56
Ciscoが1週間で3度目の買収でセキュリティ脅威査定のKenna Securityを獲得
セキュリティ
2021-05-17 02:33
マルウェア「Emotet」の拡散に新手法–JPCERT/CCが注意喚起
IT関連
2022-04-28 01:59
日本発のブロックチェーンPlasm Networkを手がけるステイクがマイクロソフトのスタートアップ支援プログラムに採択
ブロックチェーン
2021-05-07 09:34
NEC、「金融機関向けモダナイゼーションプログラム」を提供–運用定着まで伴走
IT関連
2024-02-07 19:24
アバナードら、小売現場のスマート化に着手–エッジデバイス活用でデータ量削減
IT関連
2022-04-26 23:47
AWSのローコード開発ツール「Amplify Studio」が正式リリース。Figmaと連携してプロトタイプからコードを自動生成
AWS
2022-04-26 05:49
Agoop、流動人口データベースを「Snowflake マーケットプレイス」で提供開始
IT関連
2023-02-15 03:52
ジョブ型から「優れた経営者」は育つのか–富士通の人事部門トップに聞いてみた
IT関連
2022-04-01 12:33