サプライ チェーンのセキュリティにはもっと細心の注意が必要

2017 年 4 月 26 日 - Paul Nicholas - Trustworthy Computing、シニア ディレクター

このポストは「Supply chain security demands closer attention 」の翻訳です。

危険な状況に陥った場合、まず初めに私たちはとにかく外側に目を向けて、恐ろしい脅威がないかを確認しようとします。しかし時には、内側に目を向けた方がよい場合もあります。そのよい一例が、情報通信テクノロジ (ICT) のサプライチェーンのセキュリティです。

内側を細かく観察することが、すべての関係者のメリットにつながる可能性があります。攻撃者のエントリ ポイントが社内システムにあろうと、サプライヤーのシステムにあろうと、ほんのわずかなセキュリティ侵害が発生しただけで壊滅的な被害をもたらす可能性があります。ATM への不正アクセスは、請負業者を通じて行われる攻撃方法の 1 つです。数億人の人々の個人情報流出につながります。

これまで 15 年以上にわたってサイバーセキュリティ ポリシー業務に取り組んできた経験から、多様なグローバル化されたつながった世界では、サプライ チェーンを管理しない状態のまま放置した場合、重大なサイバーセキュリティ脅威がもたらされるおそれがあると考えます。多くの製品は、さまざまな企業がさまざまな場所で製造/改良した要素で構成されています。これは、ハードウェアにもソフトウェアにも当てはまります。グローバル サプライ チェーンは、偽の要素や悪意のあるコードを紛れ込ませる機会を生み出します。問題は 1 つの地域にとどまらず、世界中に影響が及ぶおそれもあります。

この状況は、まったく新しいものでも未知のものでもありません。マイクロソフトの観点からの ICT の製品/コンポーネント検証に最適なアプローチ (サイバー サプライ チェーンのリスク管理 (C-SCRM) 分野の経験に基づき、サイバーセキュリティ関連のすべての問題に対する幅広いアプローチに沿ったもの) はリスク ベースです。もしも私がサプライ チェーンのリスク管理に対する姿勢の基本要素を提起するとしたら、以下のようになります。

軽減する必要があるサプライ チェーンの重大リスクに関する明確な理解。

これには、定期的に評価を実施するとともに、脅威やテクノロジの変化に応じて調整を行う必要があります。

• 企業間、企業と当局間の透明性、責任、および信頼を推進すると同時に、脅威のライフサイクルを考慮した原則と手法。
• 柔軟性が重要であることの理解。これには i) ベンダーにはさまざまなビジネス モデルや市場がある、および ii) ちょっとしたテクノロジの変化が脅威モデルを急激に変化させる可能性があることを考慮する必要があります。
• C-SCRM に基づいた技術の制御、運用の制御、およびベンダーや担当者の制御に対する包括的なアプローチ。

効果的なリスク管理に加えて、国際サプライ チェーンにおける国際規格も明確に把握しておく必要があります。「向こう側」の管轄区域にほんのちょっとした脆弱性があっても、サイバー犯罪者が「こちら側」に侵入する手段となるおそれがあることを認識すれば、国際規格はサプライ チェーンの基盤の安全性を判断するための共通基準となるはずです。

政府は、ICT サプライ チェーンの安全性を向上させる方法を検討するにあたり、政府提案について業界からフィードバックを募る必要があります。実際のところ、官民が協力しながらサプライチェーンに関する提案を発展させていくことこそ、この問題に対処する最善の方法はだと思います。サプライ チェーン主体のサイバー攻撃に協力して対処することは、国と企業の双方にメリットがあります。

マイクロソフトは、マイクロソフト製品に対するお客様の信頼を基に成り立っています。マイクロソフトは、多国籍企業として、国境を超えるセキュアなサプライ チェーンの重要性について理解しています。サイバーセキュリティについて検討する際に C-SCRM が第一選択肢になることはまだまだまれかもしれません。しかし、マイクロソフトは、ICT サプライ チェーンのセキュリティ保護に対する最良の対策として、リスク ベースの透明性と柔軟性を備えた規格主体の包括的かつグローバルなアプローチを今後も強く推進してまいります。