サプライチェーンリスクとは、言葉の通り、「サプライチェーンに存在するリスク」のことです。ではサプライチェーンとは何でしょう。
もともとは物流の言葉で、ある商品を顧客に提供(サプライ)するのに関わるさまざまな企業、製造会社だけでなく原材料からそれぞれの部品を構成して、最終的に顧客に届ける小売りなどのすべての関係者をつなぐ「チェーン」のことを指します。
情報セキュリティの場合でも同様です。最終的な商品やサービスを提供するために、さまざまなベンダーに業務を委託したり、ITサービスを利用したりしますが、そのチェーン上の一番弱いところから情報漏えいやその他の攻撃が行われるリスクが存在します。これは、自組織のセキュリティを固めるだけではセキュリティが担保できないということを意味します。これが「サプライチェーンリスク」です。
繰り返しになりますが、サプライチェーンリスクの怖いところは、自組織の取り組みだけではセキュリティ事故を防ぐことができない上に、その金銭的、社会的評価に対する影響は自組織が大きく受けることです。
したがって、自社の協力ベンダーや利用しているサービスをもれなく把握することがまず重要です。もちろん協力ベンダーもまた別の協力ベンダーやサービスを利用していることがありますので、責任分界点をきっちり契約などで把握することが大事です。またクラウドを含むマネージドサービスの利用は自社の業務上の責任範囲を大きく削減できるメリットがありますが、逆に言えば自社でコントロールできない部分が存在するということですので、そこに問題が起きたときのリスクは事前に評価しておくことが望ましいです。
またソフトウェア開発においては、開発で利用するコンポーネントやサービスの管理も重要です。製造業においてはサプライチェーン管理の一助として部品表(BOM; Bill of Materials)にて部品の親子関係を把握する手法が知られていますが、同様にソフトウェア部品表(SBOM; Software Bill of Materials)によってソフトウェアの構成要素管理をするアプローチが広がりつつあります。詳しくはSoftware Package Data Exchange (SPDX)などの用語をチェックしてみてください。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
