セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場用語・国際規格サプライチェーンリスク｜セキュリティ用語解説

サプライチェーンリスク｜セキュリティ用語解説

2021.10.20 用語・国際規格

サプライチェーンリスクとは
サプライチェーンリスクの影響と対策

サプライチェーンリスクとは

サプライチェーンリスクとは、言葉の通り、「サプライチェーンに存在するリスク」のことです。ではサプライチェーンとは何でしょう。

もともとは物流の言葉で、ある商品を顧客に提供（サプライ）するのに関わるさまざまな企業、製造会社だけでなく原材料からそれぞれの部品を構成して、最終的に顧客に届ける小売りなどのすべての関係者をつなぐ「チェーン」のことを指します。

情報セキュリティの場合でも同様です。最終的な商品やサービスを提供するために、さまざまなベンダーに業務を委託したり、ITサービスを利用したりしますが、そのチェーン上の一番弱いところから情報漏えいやその他の攻撃が行われるリスクが存在します。これは、自組織のセキュリティを固めるだけではセキュリティが担保できないということを意味します。これが「サプライチェーンリスク」です。

サプライチェーンリスクの影響と対策

繰り返しになりますが、サプライチェーンリスクの怖いところは、自組織の取り組みだけではセキュリティ事故を防ぐことができない上に、その金銭的、社会的評価に対する影響は自組織が大きく受けることです。

したがって、自社の協力ベンダーや利用しているサービスをもれなく把握することがまず重要です。もちろん協力ベンダーもまた別の協力ベンダーやサービスを利用していることがありますので、責任分界点をきっちり契約などで把握することが大事です。またクラウドを含むマネージドサービスの利用は自社の業務上の責任範囲を大きく削減できるメリットがありますが、逆に言えば自社でコントロールできない部分が存在するということですので、そこに問題が起きたときのリスクは事前に評価しておくことが望ましいです。

またソフトウェア開発においては、開発で利用するコンポーネントやサービスの管理も重要です。製造業においてはサプライチェーン管理の一助として部品表（BOM; Bill of Materials）にて部品の親子関係を把握する手法が知られていますが、同様にソフトウェア部品表（SBOM; Software Bill of Materials）によってソフトウェアの構成要素管理をするアプローチが広がりつつあります。詳しくはSoftware Package Data Exchange (SPDX)などの用語をチェックしてみてください。

あなたの疑問を一緒に解決します！

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します！
ぜひご気軽にご投稿ください。

お問い合わせ

クラウドの脆弱性診断にご興味があるかたはこちら

お問い合わせ

この記事の著者おがさわらなるひこ

2015年より株式会社SHIFTにてソフトウェアテスト自動化の顧客導入支援・プラットフォーム開発に従事。加えてSHIFT SECURITY設立に兼務で参画し、初期の標準化や教育などを担当。2019年に同社専任になってからは、開発者向けのソフトウェアセキュリティサービス、スマートフォンアプリ診断手法および社内ツール開発などを主な業務とする。個人としては主にデスクトップ領域のオープンソースソフトウェアの愛好家であり、翻訳やバグ報告、雑誌やWeb媒体への執筆、イベントへの登壇なども行う。隠れた趣味はリバーカヤック。

こちらの記事もおすすめ！

クラウドの「責任分界点」を解説

「責任分界点」とは、ユーザーとベンダーのそれぞれがクラウド基盤のどこからどこまでを担当するか定めた境界のことです。クラウドを利用または検討されている方のなかには、「クラウドを使っているのでセキュリティは大丈夫」とか「クラウドでの問題はベンダーの責任で我々の責任じゃない」とお考えの方も、もしかするといらっしゃるかもしれません。

2021.07.16 技術・仕組み