サプライチェーンリスクへの製品セキュリティ対応―サプライヤー開発エビデンス評価

  • 2024-07-30

製品セキュリティに関するサプライチェーンリスク

昨今、サイバー攻撃による被害発生が後を絶ちませんが、その中には「サプライチェーンの弱点」を悪用したものが多く存在します*1

たとえ、自組織におけるセキュリティ対応が万全でも、製品開発におけるサプライチェーンの中に1つでもセキュリティへの対応が脆弱な組織が存在すると、サプライチェーン全体における大きなセキュリティリスクにつながります。

また、製品セキュリティに関する法規や規格は、業界を問わず世界中で制定されており、製造業者の責任として、サプライチェーンにおけるセキュリティリスクを管理することが共通して求められています。

そのため、製造業者の責任として、サプライヤーを含むサプライチェーンのセキュリティリスクを管理することは、製品セキュリティ対応において非常に重要な活動の1つであると考えています。

製品セキュリティ観点でのサプライチェーンリスクは、図表1に示すように製品のライフサイクル全体に存在し、それぞれに対応する必要があります。本稿では特に、「サプライヤー納入物のセキュリティ対応が不適当・不十分である」というリスクへの対応策である「サプライヤー開発エビデンス評価」の取り組みとそのポイントについて説明します。

図1 製品セキュリティ観点でのサプライチェーンリスク(例)

*1 IPA 情報セキュリティ10大脅威 2024
https://www.ipa.go.jp/security/10threats/10threats2024.html

執筆者

奥山 謙

ディレクター, PwCコンサルティング合同会社

Email

山口 直幹

マネージャー, PwCコンサルティング合同会社

Email

山口 和樹

シニアアソシエイト, PwCコンサルティング合同会社

Email

PSIRTが認知すべき海外法規制と企業実務の論点

Loading...

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。

中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート

2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。

ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか

SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。

Loading...

デジタル化する工場のサイバーセキュリティ

Loading...
Loading...

インサイト/ニュース

40 results
Loading...

パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況

プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。

Loading...

本ページに関するお問い合わせ