このような米国の政府情報システムにおけるC-SCRMの標準化に向けた取り組みの成果は、民間企業を含むサイバーセキュリティ全体の枠組にも取り入れられようとしている。
NISTは2017年1月10日、「重要インフラのサイバーセキュリティを向上させるためのフレークワーク 1.1版草案」(関連情報)を公開し、パブリックコメントの募集を開始した(募集期間は2017年4月10日まで)。
2014年2月12日に公表された「NISTサイバーセキュリティフレームワーク1.0版」(関連PDF)では、企業がサイバーセキュリティリスクを管理するために必要とされるコア機能として、「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」の5つを掲げる。また、フレームワークを実装するためのプロセスの段階として、「第1層:部分的である(Partial)」「第2層:リスク情報を活用している(Risk Informed)」「第3層:繰り返し適用可能である(Repeatable)」「第4層:適応している(Adaptive)」の4階層を示していた。
「重要インフラのサイバーセキュリティを向上させるためのフレークワーク 1.1版草案」では、このような階層型アプローチを踏襲しつつ、サイバーセキュリティ評価と並んで、C-SCRMの章を追加した点が大きな特徴だ。
図4は、同草案より、サイバー・サプライチェーンに関わるステークホルダーの関係を示したものである。「バイヤー」は、組織から所与の製品/サービスを消費する人間/組織であり、「サプライヤー」は組織の内部目的(例:ITインフラストラクチャ)のために利用する製品/サービス、またはバイヤーに提供する製品/サービスに統合する製品/サービスの供給者である。そして、「非IT/OTパートナー」は、IT/OTを直接提供しないが、組織のセキュリティに影響を及ぼす製品/サービスプロバイダーである。
この草案では、C-SCRMの目的について、サイバー・サプライチェーン内における不良生産・開発業務により、潜在的に悪意がある機能を含んでいたり、偽造品であったり、脆弱であったりする可能性がある製品/サービスを特定、評価して軽減することとしている。そのためのC-SCRM活動として、以下のようなものを挙げている。
なお、C-SCRMの具体的な管理策および参照文書に関しては、草案の「付録 A:フレームワークコア」で例示されている。
Copyright © ITmedia, Inc. All Rights Reserved.