ここ数年でサプライチェーンセキュリティというキーワードが広く聞かれるようになりました。IPAが毎年発表している情報セキュリティ10大脅威の2021、2022、2023においても、「サプライチェーンの弱点を悪用した攻撃」は常に上位にランクインしています。一方で、サプライチェーンのセキュリティが示す範囲は非常に幅広く、その対処もまた広範なものとなります。
そこで本コラムでは、米国NISTのセキュリティ文書NIST SP 800-161 revision1をベースにリスクマネジメントの観点からサプライチェーンセキュリティへの対応方法について明らかにしてみたいと思います。

1. サプライチェーンのセキュリティ脅威とサイバーセキュリティサプライチェーンリスクマネジメント（C-SCRM）

サプライチェーン攻撃とは

サプライチェーンに関するセキュリティ脅威にはいくつかの観点があります。IPAの「情報セキュリティ10大脅威 2023」では、サプライチェーンについて以下のように説明しています。

上記のようなサプライチェーンに対する攻撃はサプライチェーン攻撃と言われますが、これは特定の攻撃手法というより複数の攻撃手法の組み合わせ、またはその総称です。セキュリティ対策が脆弱な組織やシステムコンポーネントを最初の標的とし、そこを踏み台として本命の標的を攻撃する攻撃全般と考えると良いでしょう。
サプライチェーン攻撃の具体例は以下のものがあります。

図1：サプライチェーンおよび攻撃のイメージ

C-SCRMとは？

このようなサプライチェーン攻撃への対応のアプローチとして、NIST（米国標準技術研究所）では、サイバーセキュリティサプライチェーンリスクマネジメント（C-SCRM）に関する文書NIST SP 800-161 revision1を2022年5月に公開しています。

当文書の目的は、サプライチェーン全体にわたるサイバーセキュリティリスクの管理を支援するために、リスク管理プロセスを特定、評価、選択、実装する方法および企業全体のコントロールを緩和する方法に関するガイダンスを企業に提供することです。
そして、サイバーセキュリティサプライチェーンリスクマネジメント（C-SCRM：Cybersecurity Supply Chain Risk Management）は、“サプライチェーン全体でサイバーセキュリティリスクへの露出（exposure）を管理し、適切な対応戦略、ポリシー、プロセス、および手順を開発するための体系的なプロセス”です。

2. 3つのレベルのリスク管理

マルチレベルリスク管理

NIST SP 800-161r1では、C-SCRMの実施において以下の３つのレベルで構成するリスク管理を提唱しています。

図2：C-SCRMにおけるマルチレベルリスク管理

ポイントは、C-SCRMにおいて対策を効果的に採用・実装するためには戦略が欠かせないということです。レベル1は戦略、レベル3は対策の計画と実装、そしてレベル2はその間をつなげる役割です。
最も特徴的なレベル1では、企業のC-SCRM戦略を決める、リスク管理方針を決める、C-SCRM PMOを決める、といった活動を行います。
C-SCRM PMOとは、企業のC-SCRMを推進・支援する社内組織で、分かりやすく言うとC-SCRMの事務局的な組織です。C-SCRM PMOが提供すべき主要な機能として以下のものが挙げられます。

C-SCRM PMOは大規模で複雑な企業に適しているとされています。そのため必須の組織ではありませんが、サプライチェーンの利害関係者が多くなるほどこのような機能が求められると考えられます。

C-SCRMの戦略、実装計画、ポリシー、計画とは

それではC-SCRMの戦略や実装計画とは何でしょうか。また、同様にC-SCRMのポリシーや計画とは何でしょう。
NIST SP 800-161r1では、付録Dにこれらの策定に向けたテンプレート例が明示されており、参考にすることができます。以下にその項目を列挙します。

また、参考としてC-SCRM戦略および実装計画のテンプレートの記載例（一部）を紹介します。（企業名は仮にＡ社としています）

表2：C-SCRM戦略および実装計画の記載例（一部抜粋）

3. C-SCRMのキープラクティス

C-SCRMに求められるプラクティス（実践規範）

これまで、C-SCRMの実践のため、様々な観点を見てきましたが、これらを一度にすべて実現するのはなかなか難しいと思います。そこで、NIST SP 800-161r1では、基礎的プラクティス（Foundational Practices）、持続的プラクティス（Sustaining Practices）、強化プラクティス（Enhancing Practices）の3段階のプラクティス（実践規範）を示しています。企業は、自社の状況に合わせてこれらを選択・調整して実行することが望ましいです。
その一部を以下に紹介します。

図3：C-SCRMのキープラクティス

基礎的プラクティス

基礎的プラクティスは最も基本的なキープラクティスです。企業は何らかの形でこのプラクティスを実践することを推奨します。

持続的プラクティス

持続的プラクティスは、C-SCRMのリスク管理機能を向上させるキープラクティスです。基礎的プラクティスを実装した企業は、次のステップとしてこれらを実践することを推奨します。

強化プラクティス

強化プラクティスは、適応型および予測型の C-SCRM機能を目指すキープラクティスです。持続的プラクティスを実装した企業は、次のステップとしてこれらを実践することを推奨します。

4. まとめ

今回はサイバーセキュリティサプライチェーンリスクマネジメント（C-SCRM）におけるマルチレベルのリスク管理と、C-SCRMのキープラクティスについて解説しました。サプライチェーンは、社内・社外の多くの組織や業務が関係し、非常に範囲が広いです。そのため、具体的なセキュリティ対策以前にリスク管理としてどうするかを決めて運用するために、どうしてもある程度のリソースを割く必要があります。
次回はNIST SP 800-161r1における管理策としてのサプライチェーンセキュリティ対策について解説します。

参考資料