エムオーテックス株式会社が運営するテックブログです。

採用情報

NIST SP 800-161解説:C-SCRMの骨格と調達フェーズのリスクアセスメント(調達者向け)

リスクアセスメント サプライチェーン NIST

NIST SP 800-161解説:C-SCRMの骨格と調達フェーズのリスクアセスメント(調達者向け)

はじめに

コンサルティング課の前田です。
普段は、お客様のセキュリティに関するドキュメントの改訂などを行っています。

近年、ICTは企業の業務を支える中心となり、多種多様なシステムが連携しています。
しかし、複雑なシステム構成ゆえに、検出しにくいセキュリティ脆弱性が潜在する可能性があります。
特に、サプライチェーン全体で製品やサービスが提供される現状では、一部の弱点が全体のリスクに波及し、重大な影響を及ぼす恐れがあります。
本ブログでは、NIST SP800-161に基づくサイバーセキュリティ・サプライチェーンリスクマネジメント
(以下、C-SCRM)の考え方を詳細に解説いたします。
特に調達に関わる方々には、リスクアセスメント手法や管理策の例を参考に、サプライチェーン全体の安全性向上のお役立ていただければ幸いです。

本ブログの目的・対象読者など

目的について

NIST SP800-161(C-SCRM)の骨子を解説し、調達フェーズでの読み方を理解していただくことを目的としております。
併せて、サプライチェーン各フェーズに共通するリスクアセスメントの重要性を整理し、
本文の「調達フェーズにおけるリスクアセスメント実践例」にて具体像を示します。

対象読者について

調達/購買、情報セキュリティ、品質保証の実務経験者および責任者を対象としております。
前提知識:NISTやサプライチェーンリスクの基本用語を聞いたことがある程度を想定しております。
     (未経験でも概観理解は可能)。

ポイントについて

マルチレベル(組織・業務・システム)の考え方および、調達における適用がポイントとなります。
なお、詳細テンプレートや契約条項サンプルの網羅提示(本ブログは規格解説に限定)は、本ブログでは範囲外となります。

関係者

C-SCRMに関わる方は、表1のとおり、組織内のほぼ全員となります。
表1は関係者の全体像を記載していますが、本ブログでは主に調達(オーナー)と情報セキュリティに焦点を当てております。*1

表1 C-SCRMの関係者

サプライチェーン攻撃とは

本節は、NIST SP800-161でC-SCRMが必要とされる背景を簡単に解説します。
サプライチェーン攻撃は、製品やサービスの供給元に不正介入し、最終的に組織に被害をもたらす攻撃手法です。
MITRE ATT&CK(マイターアタック)では「T1195.002: Compromise Software Supply Chain」として、 正当なソフトウェアアップデートに悪意あるコードが混入される手法が示されています。
古典的な例として、SolarWinds事件では、アップデートプロセスに不正コードが介在し、多数の政府機関や民間企業が被害を受けました。*2
これにより、一部の弱点が全体に大きな影響を及ぼす事実が明らかとなり、組織全体で多層的な対策を講じる必要性が認識されます。
近年も、MOVEit(2023)やxz Utilsバックドア(2024)など、サプライチェーン起因の重大事案が継続して報告されています。

サプライチェーンと C-SCRMの構造について

本節で説明するマルチレベルアプローチは、NIST SP800-161が示すC-SCRMの骨格に該当します。以降の各節は、規格の読み方ガイドとして位置づけます。

サプライチェーンとは

製品やサービスが消費者に届くまでの一連のプロセスを指し、原材料の調達、製造、流通、販売、そして廃棄に至る各段階で品質、性能、安全性の確保が求められます。 サプライチェーン全体の連携を図1にまとめました。

図1 サプライチェーンにおけるプロセス

C-SCRMの構造について

C-SCRMは、サプライチェーン全体に潜在するセキュリティリスクを管理する手法です。
内部の脆弱性や悪意ある外部介入といったリスクが、一部で発生すると連鎖的に組織全体へ拡大する恐れがあります。
たとえば、あるサプライヤーがサイバー攻撃を受けると、その影響が他のサプライヤーや最終製品にまで波及する可能性があります。

C-SCRMの最終的なゴールは、サプライチェーン全体のリスクを低減し、事業継続性および信頼性を維持することです。

リスクを低減するためのセキュリティリスク管理は、エンタープライズ、ミッション/ビジネスプロセス、運用・個別システムという各レベルが連携するマルチレベルアプローチで行われ、C-SCRMはその枠組みの中で「リスクの枠組み化」「リスクアセスメント」「リスク対応」「リスク監視」を統合的に実施します。
図2では各レベルの関係性、図3ではC-SCRMの実施プロセスが示されています。

図2 マルチレベルアプローチ

図3の要点として、NIST SP800-161のC-SCRMは、3レベル連携×「枠組み化→アセスメント→対応→監視」の統合で、全体リスクの低減と事業継続性を実現します。

図3 C-SCRMにおけるプロセス

まとめると、C-SCRMは各レベルが連携するマルチレベルアプローチの下、リスクの枠組み化からアセスメント、対応、監視までのプロセスを統合し、 全体のセキュリティリスク低減と事業継続性の確保を実現しています。

調達フェーズにおけるリスクアセスメント実践例

本節は、NIST SP800-161のライフサイクル適用(取得/調達段階)の最小適用例として位置づけています。 前節でご説明したC-SCRMのマルチレベルアプローチおよび統合プロセスは、サプライチェーン全体のセキュリティリスク低減に大きく寄与しています。 取得(調達)フェーズでは、必要な部品やサービスを外部サプライヤーから入手する際、この統合リスク管理手法が活用されます。
以下に、A社が最終製品の品質と性能に直結する高精度センサーモジュールをC社から調達する場合における、具体的なリスクアセスメントの実践例を示します。 参考にリスクアセスメント全体のプロセスを図4*3に示します。

図4 リスクアセスメントのプロセス

  1. 重要度分析
    取得対象であるセンサーモジュールが、最終製品の品質や機能にどれほど不可欠かを定量的に評価します。
    例:このセンサーモジュールは、製品の正確な測定や自動制御に必須なため、重要度は「5」と評価*4されます。

  2. 脅威分析
    次に、C社から調達するセンサーモジュールが、外部からの不正アクセスや改ざんのリスクに晒される可能性を評価します。
    例:たとえば、正規の出荷前検査の際に、攻撃者が不正介入してセンサーモジュールのファームウェアを改ざん
      し、不正な動作をさせるリスクが考えられるため、脅威は「4」と評価*3します。

  3. 脆弱性分析
    さらに、調達プロセスにおける契約内容や検証手順、評価基準といった内部管理の側面から、センサーモジュールに隠れた弱点を明らかにします。
    例:仮にA社とC社との契約書に十分なセキュリティ保証条項がなく、出荷前の品質検査プロセスが曖昧な場合、
      センサーモジュール改ざんのリスクが高まると判断され、「4」*5と評価します。

  4. 結果およびインパクト分析
    万が一、脅威が現実化し、脆弱性によってセンサーモジュールが不正な状態となった場合の影響度を評価します。
    例:このセンサーモジュールが不正動作すると、最終製品の測定誤差や機能障害が発生し、製品全体の信頼性が著
      しく低下する可能性があります。
      たとえば、製品不具合により1台あたり数十万円の損失、あるいは市場での評判低下などの深刻な影響が見込ま
      れるため、インパクトは「5」と評価*6されます。

  5. 起こりやすさ分析
    過去のインシデントデータや監査結果などを基に、上記リスクが実際に発生する確率を評価します。
    例:過去1年間に同様のセンサーモジュールに対する改ざん事例が3件報告されていれば、その発生確率は「4」と
      評価*7されます。

  6. リスク判断
    以上のすべての評価結果(重要度、脅威、脆弱性、インパクト、発生確率)を統合し、取得対象センサーモジュール全体のリスクレベルを算出します。
    例:仮にインパクトが「5」で、起こりやすさが「4」と評価された場合、リスク値は5×4=20となり、高リスクと
      して判断されます。
      これに基づき、A社は供給元の再評価や、追加の品質検査、契約条件の再交渉など、受容、回避、低減、移転
      のいずれかの対応策を決定します。

管理策の概要と利用する管理策について

これまでの節で、サプライチェーン全体の脅威、脆弱性、およびその影響について定量的な評価方法を解説しました。 これらのリスク評価は、次に実際に対策を講じるリスク対応(対策)際の基盤となります。

管理策とは

以降、「管理策」はNIST SP800-161におけるC-SCRMコントロールの意で用います。
管理策とは、リスクが発生する前に防止、または発生後に迅速に検知・軽減するための具体的なコントロール手段です。 NIST SP800-161に記載の管理策は、合計18の管理策ファミリー(カテゴリ)と277の管理策項目(拡張管理策を含む)が記載されています。

本節では、図1のステップ「調達(取得)」で利用される管理策例を紹介します。

「調達(取得)」の管理策例

表2に「調達(取得)」の管理策例を示します。

表2 調達(取得)ステップにおける管理策例

おわりに

本ブログでは、ICTを支える多層的なサプライチェーンにおけるセキュリティリスクの重要性と、その管理手法としてのC-SCRMの概念を詳しく解説しました。 各段階でのリスク評価(リスクの枠組み化、リスクアセスメント、リスク対応、リスク監視)のプロセスが、マルチレベルアプローチを通じて組織全体で連携される仕組みを説明するとともに、取得(調達)フェーズにおける具体的な評価例を交えてリスク低減策の実務的な側面を示しました。

さらに、NIST SP800-161に基づく管理策の全体像と、実際の取得フェーズで活用される管理策例を紹介することで、サプライチェーン全体の安全性向上と事業継続性の確保に向けた実践的な対策の一端をお伝えしました。これらのアプローチを参考に、各組織が自社のサプライチェーンリスクの見える化と管理体制の強化を進める一助になれば幸いです。

*1:品質保証や法務など他部門の関与は実務上発生しますが、本ブログでは詳細な役割説明などは行いません。

*2:出典:https://attack.mitre.org/techniques/T1195/002/

*3:このプロセスは、C-SCRMだけでなく全てのリスクアセスメントに適用可能です

*4:評価は、企業の経営戦略(トップダウン)と現場での実運用への影響(ボトムアップ)から判断されます。

*5:評価は、過去の脆弱性情報や実績データをもとに、1~5のスケールで実施します。

*6:評価は、可用性(使用不能)、機密性(不正情報漏洩)、完全性(データや動作の改ざん)の観点から行います。

*7:評価は、実績データにより、1~5のスケールで定量的に算出されます。