NIST SP 800-161r1にみるサプライチェーンリスクマネジメント(1)

~マルチレベルリスク管理とC-SCRMキープラクティス~

セキュリティ

2023.07.20

     

ここ数年でサプライチェーンセキュリティというキーワードが広く聞かれるようになりました。IPAが毎年発表している情報セキュリティ10大脅威の2021、2022、2023においても、「サプライチェーンの弱点を悪用した攻撃」は常に上位にランクインしています。一方で、サプライチェーンのセキュリティが示す範囲は非常に幅広く、その対処もまた広範なものとなります。
そこで本コラムでは、米国NISTのセキュリティ文書NIST SP 800-161 revision1をベースにリスクマネジメントの観点からサプライチェーンセキュリティへの対応方法について明らかにしてみたいと思います。

1. サプライチェーンのセキュリティ脅威とサイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM)

サプライチェーン攻撃とは

サプライチェーンに関するセキュリティ脅威にはいくつかの観点があります。IPAの「情報セキュリティ10大脅威 2023」では、サプライチェーンについて以下のように説明しています。

  • サプライチェーン
    “商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群”
  • ソフトウェアサプライチェーン
    “ソフトウェア開発のライフサイクルに関与する全てのモノ(コード、ライブラリ、プラグイン、各種ツール等)や人(開発者、運用者等)の繋がり”

上記のようなサプライチェーンに対する攻撃はサプライチェーン攻撃と言われますが、これは特定の攻撃手法というより複数の攻撃手法の組み合わせ、またはその総称です。セキュリティ対策が脆弱な組織やシステムコンポーネントを最初の標的とし、そこを踏み台として本命の標的を攻撃する攻撃全般と考えると良いでしょう。
サプライチェーン攻撃の具体例は以下のものがあります。

  • ビジネスサプライチェーン攻撃
    2022年に委託先のシステムへの侵入を介して国内医療機関へネットワーク侵害が行われ、結果的にランサムウェア感染により医療業務が停止した。
  • サービスサプライチェーン攻撃
    2022年に国内クラウドサービス事業者が提供するWeb入力サービスが改ざんされ、取引先が入力した個人情報が外部に流出した。
  • ソフトウェアサプライチェーン攻撃
    2020年に海外ネットワーク管理ソフトウェアベンダーのネットワーク監視ツールにマルウェアが仕込まれ1万7千社以上の顧客に配布され、顧客システムが侵害された。

図1:サプライチェーンおよび攻撃のイメージ

図1:サプライチェーンおよび攻撃のイメージ

C-SCRMとは?

このようなサプライチェーン攻撃への対応のアプローチとして、NIST(米国標準技術研究所)では、サイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM)に関する文書NIST SP 800-161 revision1を2022年5月に公開しています。

  • NIST SP 800-161 revision1
    Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations
    (システムおよび組織のサイバーセキュリティサプライチェーンリスクマネジメントの実践)

当文書の目的は、サプライチェーン全体にわたるサイバーセキュリティリスクの管理を支援するために、リスク管理プロセスを特定、評価、選択、実装する方法および企業全体のコントロールを緩和する方法に関するガイダンスを企業に提供することです。
そして、サイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM:Cybersecurity Supply Chain Risk Management)は、“サプライチェーン全体でサイバーセキュリティリスクへの露出(exposure)を管理し、適切な対応戦略、ポリシー、プロセス、および手順を開発するための体系的なプロセス”です。

  • 本コラムでは、これ以降、サイバーセキュリティサプライチェーンリスクマネジメントをC-SCRMと呼称します。
  • 本コラムでは、これ以降、NIST SP 800-161 revision1をNIST SP 800-161r1と呼称します。

2. 3つのレベルのリスク管理

マルチレベルリスク管理

NIST SP 800-161r1では、C-SCRMの実施において以下の3つのレベルで構成するリスク管理を提唱しています。

  • レベル1(エンタープライズ):高レベルのC-SCRMの戦略、実装計画、ポリシー
  • レベル2(ミッションとビジネスプロセス):中レベルのC-SCRMの戦略、実装計画、ポリシー
  • レベル3(運用):C-SCRM計画

図2:C-SCRMにおけるマルチレベルリスク管理

図2:C-SCRMにおけるマルチレベルリスク管理

ポイントは、C-SCRMにおいて対策を効果的に採用・実装するためには戦略が欠かせないということです。レベル1は戦略、レベル3は対策の計画と実装、そしてレベル2はその間をつなげる役割です。
最も特徴的なレベル1では、企業のC-SCRM戦略を決める、リスク管理方針を決める、C-SCRM PMOを決める、といった活動を行います。
C-SCRM PMOとは、企業のC-SCRMを推進・支援する社内組織で、分かりやすく言うとC-SCRMの事務局的な組織です。C-SCRM PMOが提供すべき主要な機能として以下のものが挙げられます。

C-SCRM PMOが提供すべき主要な機能

  • C-SCRMに関するアドバイザリーサービスおよび対象分野の専門知識
  • 社内のC-SCRMワーキンググループや、評議会、またはその他の調整機関の議長
  • C-SCRMに関するツール、手順書、意識向上、トレーニングテンプレートの中心的役割
  • サプライヤーおよび製品のリスクアセスメント
  • 外部ステークホルダーとの連絡
  • 社内組織、社外組織との情報共有マネジメント
  • C-SCRMリスク一覧表の管理
  • エンタープライズC-SCRMガバナンスの事務局・人員配置機能
  • C-SCRMのプロジェクト管理およびパフォーマンス管理
  • C-SCRMのブリーフィング、プレゼンテーション、およびレポート

C-SCRM PMOは大規模で複雑な企業に適しているとされています。そのため必須の組織ではありませんが、サプライチェーンの利害関係者が多くなるほどこのような機能が求められると考えられます。

C-SCRMの戦略、実装計画、ポリシー、計画とは

それではC-SCRMの戦略や実装計画とは何でしょうか。また、同様にC-SCRMのポリシーや計画とは何でしょう。
NIST SP 800-161r1では、付録Dにこれらの策定に向けたテンプレート例が明示されており、参考にすることができます。以下にその項目を列挙します。

表1:C-SCRMの戦略、実装計画、ポリシー、計画の項目
C-SCRM戦略および実装計画 C-SCRMポリシー C-SCRM計画
  • 目的
  • 関係機関およびコンプライアンス
  • 戦略目標
  • 実装計画のマイルストーン
  • 役割および責任
  • 定義
  • 改訂および維持
  • 関係機関及びコンプライアンス
  • 説明
  • ポリシー
  • 役割および責任
  • 定義
  • 改訂および維持
  • システムの名称およびID
  • システムの概要説明
  • システム情報の種類と分類
  • システム稼働状況
  • システム/ネットワーク構成図、インベントリ、およびライフサイクルアクティビティ
  • 情報交換およびシステム接続
  • セキュリティ管理策の詳細
  • 役割の特定
  • 不測事態および緊急事態
  • 関連する法律、規制、政策

(以下省略)

また、参考としてC-SCRM戦略および実装計画のテンプレートの記載例(一部)を紹介します。(企業名は仮にA社としています)

表2:C-SCRM戦略および実装計画の記載例(一部抜粋)

表2:C-SCRM戦略および実装計画の記載例(一部抜粋)

3. C-SCRMのキープラクティス

C-SCRMに求められるプラクティス(実践規範)

これまで、C-SCRMの実践のため、様々な観点を見てきましたが、これらを一度にすべて実現するのはなかなか難しいと思います。そこで、NIST SP 800-161r1では、基礎的プラクティス(Foundational Practices)、持続的プラクティス(Sustaining Practices)、強化プラクティス(Enhancing Practices)の3段階のプラクティス(実践規範)を示しています。企業は、自社の状況に合わせてこれらを選択・調整して実行することが望ましいです。
その一部を以下に紹介します。

図3:C-SCRMのキープラクティス

図3:C-SCRMのキープラクティス

基礎的プラクティス

基礎的プラクティスは最も基本的なキープラクティスです。企業は何らかの形でこのプラクティスを実践することを推奨します。

表3:C-SCRMの基礎的プラクティスの内容(一部)
基礎的プラクティス(Foundational Practices)
  • 複数の専門分野にわたって中心となるC-SCRM PMOを確立する
  • C-SCRMに対する上級管理職のサポートを得る
  • C-SCRMの要件を企業のポリシーに組み込み、企業ガバナンスを確立する
  • 十分に文書化され、一貫したC-SCRMプロセスとする
  • C-SCRMをシステムコンポーネントの購買/調達ポリシーへ統合する
  • 適切なC-SCRM専用リソースを確保する
  • 定義されたC-SCRM管理策のベースラインを実装する
  • コンプライアンスを保証するための内部的なC-SCRM抑止力*1を確立する
  • サプライヤー管理プログラムを確立する
  • インシデント管理プログラムにC-SCRMの側面を含める
  • *1抑止力:抑制と均衡(checks and balances)。この場合、コンプライアンス違反をさせないための仕組みのこと。

持続的プラクティス

持続的プラクティスは、C-SCRMのリスク管理機能を向上させるキープラクティスです。基礎的プラクティスを実装した企業は、次のステップとしてこれらを実践することを推奨します。

表4:C-SCRMの持続的プラクティスの内容(一部)
持続的プラクティス(Sustaining Practices)
  • 脅威情報に基づいたセキュリティプログラムを確立する
  • 第三者評価、現場視察、正式な認証を使用して重要なサプライヤーを評価する
  • サプライヤーを継続的に監視及び再評価するための正式なプロセスを確立する
  • C-SCRMのリスク選好度*2およびリスク許容度*3を定義する
  • 経営陣/リスク委員会へ定期的にC-SCRMリスクを報告する
  • 企業のトレーニングカリキュラムの中にC-SCRMトレーニングを組み込む
  • C-SCRMをSDLC(システム開発ライフサイクル)に統合する
  • 緊急時対応計画、インシデント対応、災害復旧計画およびテストに重要なサプライヤーを含める
  • *2リスク選好度:Risk Appetite。意欲的に受け入れるリスクの程度。
  • *3リスク許容度:Risk Tolerance。耐えられるリスクの程度。

強化プラクティス

強化プラクティスは、適応型および予測型の C-SCRM機能を目指すキープラクティスです。持続的プラクティスを実装した企業は、次のステップとしてこれらを実践することを推奨します。

表5:C-SCRMの強化プラクティスの内容(一部)
強化プラクティス(Enhancing Practices)
  • 適用可能かつ実用的な C-SCRMプロセスを自動化する
  • 定量的リスク分析を使用する
  • C-SCRMの戦略および計画を事後対応型から予測型へ移行する
  • C-SCRMのプラクティスのコミュニティを設立または参加する

4. まとめ

今回はサイバーセキュリティサプライチェーンリスクマネジメント(C-SCRM)におけるマルチレベルのリスク管理と、C-SCRMのキープラクティスについて解説しました。サプライチェーンは、社内・社外の多くの組織や業務が関係し、非常に範囲が広いです。そのため、具体的なセキュリティ対策以前にリスク管理としてどうするかを決めて運用するために、どうしてもある程度のリソースを割く必要があります。
次回はNIST SP 800-161r1における管理策としてのサプライチェーンセキュリティ対策について解説します。

  • 文中の商品名、会社名、団体名は、各社の商標または登録商標です。

NIST SP 800-161r1にみるサプライチェーンリスクマネジメント(1)