ビッグデータとAIの台頭で注目されるサプライチェーンのリスク管理：ビッグデータ利活用と問題解決のいま（2/3 ページ）

[笹原英司，ITmedia]

サイバーセキュリティのフレームワークに組み込まれるC-SCRM

　このような米国の政府情報システムにおけるC-SCRMの標準化に向けた取り組みの成果は、民間企業を含むサイバーセキュリティ全体の枠組にも取り入れられようとしている。

　NISTは2017年1月10日、「重要インフラのサイバーセキュリティを向上させるためのフレークワーク 1.1版草案」（関連情報）を公開し、パブリックコメントの募集を開始した（募集期間は2017年4月10日まで）。

　2014年2月12日に公表された「NISTサイバーセキュリティフレームワーク1.0版」（関連PDF）では、企業がサイバーセキュリティリスクを管理するために必要とされるコア機能として、「特定（Identify）」「防御（Protect）」「検知（Detect）」「対応（Respond）」「復旧（Recover）」の5つを掲げる。また、フレームワークを実装するためのプロセスの段階として、「第1層：部分的である（Partial）」「第2層：リスク情報を活用している（Risk Informed）」「第3層：繰り返し適用可能である（Repeatable）」「第4層：適応している（Adaptive）」の4階層を示していた。

　「重要インフラのサイバーセキュリティを向上させるためのフレークワーク 1.1版草案」では、このような階層型アプローチを踏襲しつつ、サイバーセキュリティ評価と並んで、C-SCRMの章を追加した点が大きな特徴だ。

　図4は、同草案より、サイバー・サプライチェーンに関わるステークホルダーの関係を示したものである。「バイヤー」は、組織から所与の製品／サービスを消費する人間／組織であり、「サプライヤー」は組織の内部目的（例：ITインフラストラクチャ）のために利用する製品／サービス、またはバイヤーに提供する製品／サービスに統合する製品／サービスの供給者である。そして、「非IT／OTパートナー」は、IT／OTを直接提供しないが、組織のセキュリティに影響を及ぼす製品／サービスプロバイダーである。

図4.サイバー・サプライチェーンの関係（出典：NIST「Cybersecurity Framework Draft Version 1.1」、2017年1月10日）

　この草案では、C-SCRMの目的について、サイバー・サプライチェーン内における不良生産・開発業務により、潜在的に悪意がある機能を含んでいたり、偽造品であったり、脆弱であったりする可能性がある製品／サービスを特定、評価して軽減することとしている。そのためのC-SCRM活動として、以下のようなものを挙げている。

• サプライヤーおよびIT／OTパートナーのためのサイバーセキュリティに関する要求事項を決定する
• 正式な合意書（契約書）を介して、サイバーセキュリティに関する要求事項を規定する
• サプライヤーとパートナーに対し、サイバーセキュリティの要求事項がどのように確認され、検証されるかを伝達する
• さまざまな評価手法を介して、サイバーセキュリティの要求事項を満たしているか確認する
• 上記の活動を統治、管理する

　なお、C-SCRMの具体的な管理策および参照文書に関しては、草案の「付録 A:フレームワークコア」で例示されている。