英NCSC、サプライチェーンのセキュリティ強化に向けたガイダンスを発表

Liam Tung (Special to ZDNET.com) 翻訳校正: 村上雅章 野崎裕子

2022-10-17 16:27

 英国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC)は現地時間10月12日、企業に対して自社のサプライチェーンを攻撃から守るための新たなガイダンスを公開した。

キーボードを打つ手
提供:Getty Images

 NCSCによると、これは最近のサプライチェーン攻撃の増加を受けてのことであり、企業は自己防衛に向けてより一層の取り組みを必要としているという。

 近年注目されたケースとしては、SolarWindsのソフトウェアビルドシステムに対する2020年の攻撃や、ソフトウェアベンダーKaseyaの顧客に対する2021年のランサムウェア攻撃、ウクライナの会計プログラムを介した2017年の「NotPetya」攻撃などが挙げられる。また、Joe Biden米大統領が同国のサイバーセキュリティ対策の強化を目指す大統領令の起草を指示したのは、SolarWinds製品の一件が起きた直後のことだった。

 NCSCは2021年2月に「パイプラインの防衛」に関する文書を公開し、組織や開発者らに対してソフトウェア開発をCI/CD(継続的インテグレーション/継続的デリバリー)によって自動化するよう強く促していた。

 また、NCSCの最高責任者は2021年10月に、ランサムウェアが最も差し迫った脅威だとする一方で、サプライチェーンの脅威は何年も続くだろうと警告していた。

 そしてNCSCは今回のガイダンス公開を発表する中で、その目的が中規模以上の組織に対して、「サプライヤーとの連携におけるサイバーリスクを検証し、緩和策が講じられているという確信を得られる」よう支援するところにあると述べている。

 「今回のガイドラインの公開は、SolarWinds製品への攻撃に代表されるような大事件を含む、サプライチェーン内の脆弱性に起因するサイバー攻撃がここ数年で著しく増加している事態を受けたものだ」(NCSC)

 またNCSCは、サイバーセキュリティプロフェッショナルやリスク管理者、調達関連の専門家が、同機関によって定められたサプライチェーンのセキュリティ強化に向けた12の原則を実践するよう求めてもいる。

 サプライヤー関連のセキュリティをチェックしている英国企業はそう多くない。英国政府の「Cyber Security Breaches Survey 2022」(2022年のサイバーセキュリティ侵害調査)によると、企業規模の大小を問わず、半数以上がITやサイバーセキュリティをサードパーティーにアウトソーシングしているという。しかし、直接関与しているサプライヤーによってもたらされるリスクを評価している英国企業は13%にとどまっている。こうした回答者らは、サイバーセキュリティが調達業務における重要なファクターではないと答えていた。

 NCSCの政府サイバーレジリエンス担当副長官であるIan McCormack氏は「サプライチェーン攻撃は、組織が直面している深刻なサイバー脅威であり、インシデントの発生は企業や顧客に多大かつ長期的な影響を及ぼすおそれがある」と述べている。

 「インシデントが増加している中、組織はサプライヤーと協力し、サプライチェーンのリスクを洗い出し、適切なセキュリティ対策を確実に講じておく必要がある」(McCormack氏)

 このガイダンスは5つの段階に分かれており、組織がサプライチェーンのサイバーセキュリティを重視すべき理由や、アプローチを確立する中での「重要資産」の洗い出しと保護、新規サプライヤーに対する該当アプローチの適用、既存サプライヤーとの契約への該当アプローチの反映、継続的な改善活動などが網羅されている。

 米国の諜報機関である米国家安全保障局(NSA)は9月に、開発者を具体的対象にしたサプライチェーンガイダンスを公開している。また米行政管理予算局(OMB)も同月、新たなソフトウェア調達ガイドラインを公開している

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]