サプライチェーン攻撃を起点とした情報漏えいが相次いでいる。委託先のアカウントからIDとパスワードが盗まれ社内に侵入された事例や、SaaSツールが不正アクセスを受けツール利用者に被害が広がった事例などがある。これらインシデントの背景にあるのは、ネットワーク機器の脆弱性や委託先のアカウントの管理不備、SaaSツールの死角といった「自社と外部をつなぐ接点」が狙われるということだ。これらを防ぐためには、技術的な対策だけでなく、組織体制、外部依存関係、運用ルールにわたって「見えないリスク」を多面的に確認していく作業が重要になる。実際、 経産省が主導するSCS評価制度でも、委託先セキュリティ水準を可視化することがポイントになる。
本資料では、「組織・体制」「ネットワーク接続」「アカウント権限管理」「N次委託管理」「データ取り扱い」「SaaS・クラウド管理」の6つのカテゴリで、サプライチェーンセキュリティリスク審査を実践するためのガイドを紹介する。
ホワイトペーパー