サプライチェーンリスクへの製品セキュリティ対応―サプライヤー開発エビデンス評価

2024-07-30

製品セキュリティに関するサプライチェーンリスク

昨今、サイバー攻撃による被害発生が後を絶ちませんが、その中には「サプライチェーンの弱点」を悪用したものが多く存在します^*1。

たとえ、自組織におけるセキュリティ対応が万全でも、製品開発におけるサプライチェーンの中に1つでもセキュリティへの対応が脆弱な組織が存在すると、サプライチェーン全体における大きなセキュリティリスクにつながります。

また、製品セキュリティに関する法規や規格は、業界を問わず世界中で制定されており、製造業者の責任として、サプライチェーンにおけるセキュリティリスクを管理することが共通して求められています。

そのため、製造業者の責任として、サプライヤーを含むサプライチェーンのセキュリティリスクを管理することは、製品セキュリティ対応において非常に重要な活動の1つであると考えています。

製品セキュリティ観点でのサプライチェーンリスクは、図表1に示すように製品のライフサイクル全体に存在し、それぞれに対応する必要があります。本稿では特に、「サプライヤー納入物のセキュリティ対応が不適当・不十分である」というリスクへの対応策である「サプライヤー開発エビデンス評価」の取り組みとそのポイントについて説明します。

*1 IPA 情報セキュリティ10大脅威 2024
https://www.ipa.go.jp/security/10threats/10threats2024.html

サプライヤー開発エビデンス評価のポイント

製造業者は、顧客に届ける製品のセキュリティ品質を確保するために、製品開発の過程において、サプライヤーへの委託領域についてもセキュリティリスクを早期に発見し、適切に是正する必要があります。

セキュリティリスクの早期発見・是正は、製品開発においてサプライヤーが作成したセキュリティ対応の証跡に対し、製造業者が適当・十分であるか判断する「サプライヤー開発エビデンス評価」の取り組みを行うことで実現可能です。

一方で、この取り組みを実際に行う際には、製品モデル・サプライヤーごとにセキュリティ評価を実施する必要があるため、製造業者の事業形態によっては業務量が膨大になります。また、セキュリティ人材は慢性的に不足しており、多くの場合、限られた人員でセキュリティ評価を実施する必要があるため、その実現は容易ではありません。そのため、サプライヤー開発エビデンス評価に取り組む際には、まず効率化・標準化に向けた業務設計を行うべきです。

業務設計において前提となるのは、製造業者によるセキュリティ評価の効率化・標準化です。効率化・標準化を行うためには、ステークホルダーの役割・責任が明確に定義され、各自が実施すべき業務を理解していることが不可欠であり、セキュリティ評価の業務プロセスを標準化した上で、手順として整備する必要があります。また、セキュリティ評価の観点・項目をフォーマットとして整備することで効率よく、同一の基準で判断可能となります。

次に、サプライヤーによる証跡文書化の効率化・標準化も重要です。証跡がサプライヤーごとに異なる場合や、証跡の品質に問題がある場合には、セキュリティ評価に時間を要することにつながり、ボトルネックとなります。証跡文書化の効率化・標準化は、サプライヤーの理解と協力が不可欠であり、サプライヤーにサプライヤー開発エビデンス評価の必要性や、サプライヤーが実施すべき事項を正しく理解してもらうことが重要です。そのうえで、サプライヤーが文書化する証跡のフォーマットや作成時のガイドを整備することで、さらなる効率化・標準化が期待できます。

最後に、証跡文書化とセキュリティ評価に対する全体管理も重要です。サプライヤー開発エビデンス評価では、複数の製品モデル・サプライヤーに対する証跡文書化、セキュリティ評価を並行して行います。そのため、進行状況の管理が不十分な場合、遅延リスクを適切に検知できず、製品の開発スケジュールに深刻な影響を及ぼす恐れがあります。こうした事態を防ぐために、進行状況を可視化することで遅延リスクを早期発見し、是正する必要があります。また、この取り組みでは、証跡やセキュリティ評価結果といった大量の文書が作成されることになるため、当該文書を適時に参照できるよう、文書管理も行うべきです。

以上の業務設計におけるポイントをまとめると図表3のようになります。