ニュース
» 2017年02月16日 08時00分 UPDATE

ビッグデータ利活用と問題解決のいま:ビッグデータとAIの台頭で注目されるサプライチェーンのリスク管理 (1/3)

最近では複数のサプライヤー/パートナーのエコシステムによって、ビッグデータ関連のサービスが提供されるようになってきた。このようなエコシステムを形成するサプライチェーンのリスクマネジメントは、どうなっているのだろうか。

[笹原英司,ITmedia]

 昨今は複数のサプライヤー/パートナーから成るエコシステムとして、ビッグデータ関連サービスを提供するケースが増えている。そこで注目されるのが、「サイバー・サプライチェーンリスクマネジメント」(C-SCRM)だ。

NISTが推進するサイバー・サプライチェーンリスクマネジメント

 米国立標準技術研究所(NIST)は、2008年に産官学連携の「サイバー・サプライチェーンリスクマネジメント」(C-SCRM)プログラムを立ち上げた(関連情報)。

 NISTの定義によると、C-SCRMとは分散と相互接続を特徴とする情報技術(IT:Information Technology)/制御技術(OT:Operation Technology)製品およびサービスのサプライチェーンに関連するリスクを特定、評価、低減するプロセスであり、システムのライフサイクル全体(設計、改札、物流、導入、購買、維持、破棄など)をカバーしている。サプライチェーンの脅威や脆弱性は、意図的もしくは非意図的に、いつでもIT/OT製品またはサービスを危うくする可能性があると指摘している。

 2015年4月9日には、NISTから「NIST SP 800-161:連邦政府システムおよび組織のためのサプライチェーンリスクマネジメント・プラクティス」と題するガイドラインが公表されている(関連PDF)。図1は、同ガイドラインの中でICTサプライチェーンのリスクを示したものだ。

図1.ICTサプライチェーンのリスク(出典:NIST「NIST SP 800-161:Supply Chain Risk Management Practices for Federal Information Systems and Organizations」、2015年4月)

 図1に示す通り、ICTサプライチェーンの脅威には、敵対的なもの(例:偽造品の挿入、改ざん、盗難、悪意のあるソフトウェアの挿入)と、敵対的でないもの(例:自然災害、低品質の製品/サービス)があり、脆弱性には、外的なもの(例:サプライチェーンに対する弱点、サプライチェーンの主体内部に対する弱点)と、内的なもの(例:情報システムおよびコンポーネント、組織のポリシー/プロセス)がある。

 ただし、ICTサプライチェーンの共通課題として、脆弱性が生じてから悪用や発覚するまでに時間を要することがあり、起きた事象がサプライチェーンの脆弱性の直接的な結果であると判断することが難しい場合もある。その結果、組織のミッションに対して、継続的に否定的な影響が及ぶ可能性がある。

 次の図2は、ICTサプライチェーンにおけるリスクの階層構造を示したものである。

 「第1層:組織」(TIER 1)には、ICTサプライチェーンリスクマネジメント(ICT-SCRM)全体の戦略策定、組織全体のICT-SCRMポリシー設定などが含まれる。「第2層:ミッション/ビジネスプロセス」(TIER 2)には、組織におけるミッションおよびビジネスプロセスの優先順位付け、ミッション/ビジネスプロセスレベルのリスク評価、第1層の戦略およびガイドラインの実行などが含まれる。「第3層:情報システム」(TIER 3)には、特定のICT-SCRM活動の個別情報システムおよび情報システム調達への適用などが含まれる。

図2.ICTサプライチェーンのリスクの階層構造(出典:NIST「NIST Special Publication 800-161:Supply Chain Risk Management Practices for Federal Information Systems and Organizations」、2015年4月)

 そして図3は、ICTサプライチェーンにおけるリスク管理のプロセスを示したものである。プロセスを大別すると、(1)リスクの枠組み作り「Frame」、(2)リスク評価「Assess」、(3)リスクへの対応「Respond」、(4)リスクのモニタリング「Monitor」――から構成される。

図3.ICTサプライチェーンのリスク管理(出典:NIST「NIST Special Publication 800-161:Supply Chain Risk Management Practices for Federal Information Systems and Organizations」、2015年4月)

 これら4つのプロセスについて、NISTのガイドラインでは、図2にある3階層ごとに具体的なリスク管理策を例示しているほか、サプライチェーンの脅威シナリオおよび分析フレームワーク、ICT-SCRM計画テンプレートなどを提供している。それらのベースになっているのは、ICTサプライチェーンに係る管理策を要求事項に含んでいる情報セキュリティ国際規格「ISO 27001:2013」や、NISTの「NIST SP 800-53:連邦政府情報システムにおける推奨セキュリティ管理策」など、既存のガイドライン類だ。

 NISTは、2015年10月1〜2日に「サプライチェーンリスクマネジメントのベストプラクティス」(関連情報)と題するワークショップを開催するなど、個々の業界におけるベストプラクティスの収集に努めている(関連情報)。

       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -