ー サプライチェーン上の情報の管理責任 ー
はじめに
多くの組織では、「専門知識や技能の不足を補う」、「コストを削減する」、「地理的な範囲を拡大する」など、様々な目的で、供給者(サプライヤー)との関係性を構築し効率的にリソースを確保しています。
他方、その供給網であるサプライチェーンは複雑性を増すことで透明性が失われ、さらに、供給者による不正行為や提供されるサービスや製品の脆弱性によってそれを取得する組織のセキュリティを脅かす側面も併せ持ち、ここ数年、実際にサプライチェーン上の脆弱性を悪用する攻撃は増加傾向にあり、インシデント報告も目立つようになってきました。
その対策として、海外では、以前から ISO/IEC 270036 や NIST SP800ー161 などのサプライチェーンに特化したセキュリティ管理策を提示しているガイドラインが発行されており、ISO/IEC 27002、NIST SP800-171など、管理策を網羅的に提示するガイドラインにおいてもサプライチェーンに関連する内容が充実してきています。
国内に目を向けても、近年、自組織だけではなく組織に関連するサプライチェーンをリスク源としたセキュリティ上の脅威が取り沙汰されることが多くなっており、IPAが公開している情報セキュリティ10大脅威でも、2019年に初めて取り上げられてから毎年上位で扱われています。
同じく、脅威への対策が急務との認識が拡がっており、サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)の設立やISACなどの各業界団体において、セキュリティガイドラインの策定、実施状況のモニタリング、教育・啓発コンテンツの共有など、サプライチェーンに関連するセキュリティリスクへの対応が進められています*1 。
昨今の状況を踏まえ、サプライチェーンにおけるセキュリティリスク*2について考えてみたいと思います。
注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)
必要とされる背景
各組織がサプライチェーン上のセキュリティリスクマネジメントの必要性を意識するようになったきっかけとしては、NIST SP800-171が2016年に発行されたことが大きいと思います。
それまでも、NIST SP800-53により米国連邦政府の情報及び情報システムに関連する組織を対象としたセキュリティ管理策の実施が求められていましたが、NIST SP800-171の発行に伴い政府調達(特に米国防総省)に関わる一連のサプライチェーンに存在する業務委託先、関連企業の全てにセキュリティ要件の適用範囲が拡大しました。
国内においても、NIST SP800-171を参考にした防衛産業サイバーセキュリティ基準による防衛装備品の調達が2023年の契約から適用されることが公表されています。
防衛装備庁 : 防衛産業サイバーセキュリティ基準の整備について
下表にて、NIST SP800-53とNIST SP800-171を簡単に比較します。
NIST SP800-171発行の背景として、1つのインシデントが影響していると言われています。その内容とは、米国が契約する豪州の業者の再委託先からF35戦闘機の製品仕様書を含む30GB相当の情報が窃取されたものです。
情報を流出させた組織の当時のセキュリティ管理は非常に脆弱な状態(例えば、システム管理者が1名のみ、4か月間侵入に気付かなかった、単純なパスワードが使用されていた)であったとされています。
このインシデントが、サプライチェーン上のリスク(脆弱性)マネジメントの必要性や、機密情報に分類されていなくともそれに準ずる複数の情報を関連付けることにより脅威に成り得るとの考え方が浸透したきっかけの一つと考えます。
サプライチェーン上の情報の管理(保護)責任
ここからは、サプライチェーンが関連する情報のセキュリティ上の管理責任について考えます。
取得者と供給者*3との関わり方には、次のように様々なケースが考えられますが、どのケースにおいても原則、情報の管理責任はその情報の所有者(取得者)*4にあります。
- 供給者から提供される製品・サービスを利用し情報を管理する
- 供給者に情報の管理を委託する
- 業務プロセスを委託するために、組織の情報を供給者に提供する
例えば、業務プロセスの委託やクラウドサービス*5の利用により、組織の情報の管理を供給者に委託する際に、合意文書中のセキュリティ要件により供給者に管理策の実施義務(responsibility)を課すことが多いと思われますが、その場合においてもインシデントの発生などの結果に対する説明責任(accountability)は取得者側にあります。
供給者に情報の管理(又は処理)を委託するケースを、過去に書いた記事の各役割に当てはめると、取得者はOwner(兼Steward)、供給者はCustodianという関係性になります。
blg8.hatenablog.com
上記の妥当性を法令、ガイドラインを参照し、デューケアとデューディリジェンスの観点で検証します。
なお、セキュリティに関連するデューケアとデューディリジェンスの考え方については、過去の記事が参考になります。
blg8.hatenablog.com
デューケアの観点で考える管理責任
まず、デューケアの観点でサプライチェーンが関連する情報の管理責任について考えてみます。
例えば、個人情報保護法では、次のように定められており、個人データの取り扱いを委託する場合、その委託先に対する必要かつ適切な監督が義務付けられています。
(委託先の監督) 第二十五条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
具体的な実施内容は、個人情報保護委員会から発行されている個人情報の保護に関する法律についてのガイドライン (通則編)において、次のように解説されています。
3-4-4 委託先の監督(法第 25 条関係)から一部抜粋
具体的には、個人情報取扱事業者は、法第 23 条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとする。
(中略)
個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない。
リスクに応じて、実施すべき必要かつ適切な措置として次の(1)から(3)があげられています。
(1)適切な委託先の選定
(2)委託契約の締結
(3)委託先における個人データ取扱状況の把握
上記のように、法的にも委託元による管理義務が具体的に求められていることがわかります。
デューディリジェンスの観点で考える管理責任
次にデューディリジェンスの観点でサプライチェーンが関連する情報の管理責任について考えてみます。
例えば、組織の情報セキュリティマネジメントシステムの目的を「リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える」としたときは、自ずとサプライチェーンはその情報セキュリティマネジメントシステムの適用範囲に含まれます。
なぜなら、サプライチェーンが組織の目的に対する不確かさの影響を与えうる要因(リスク源)となるからであり、具体的には、サプライチェーンに対し、組織のリスクマネジメントプロセスを適用する必要があります。
セキュリティに直接関連してはいませんが、筆者がデューディリジェンスの概念と具体策を再認識するためによく参照させていただいている 責任ある企業行動 (RBC) のためのOECDデュー・ディリジェンス・ガイダンス でも以下のように記載されています。
責任ある企業行動 (RBC) のためのOECDデュー・ディリジェンス・ガイダンスより
多国籍企業行動指針に基づくデュー・ディリジェンスの概念には、相互に関わり合う一連のプロセスが含まれる。すなわち、企業自体の事業、サプライチェーンおよびその他のビジネス上の関係に関して、負の影響を特定し、その負の影響を防止し軽減し、実施状況および結果を追跡調査し、どのように負の影響に対処したかを伝える 一連のプロセスである。
すなわち、デューディリジェンスの概念は、サプライチェーンおよびその他のビジネス上の関係に関して
- 負の影響を特定(=リスクアセスメント(特定・分析・評価))し、
- その負の影響を防止し軽減(=リスク対応)し、
- 実施状況および結果を追跡調査(=リスクのモニタリング及びレビュー)し、
- どのように負の影響に対処したかを伝える(=リスクコミュニケーション)
- 一連のプロセス(=リスクマネジメントプロセス)である。
とされており、前述のように、サプライチェーンに対するリスクマネジメントを組織により実施することが求められています。
以上のことから、デューケア、デューディリジェンスの観点からも原則、情報の管理責任は取得者にあるとの考え方は妥当だと結論付けます。
まとめ
今回は、サプライチェーンに関連するセキュリティリスクマネジメントが必要とされる背景とその管理責任について考えました。
組織が保有する情報は、生成から廃棄までのライフサイクルの様々な場面でサプライチェーン上の供給者の手に渡り処理されたり、保管されることがあります。このように情報が組織から離れることがあっても、万が一、セキュリティが損なわれた場合は、結果に対する説明責任(accountability)は取得者にあるため、主体的に管理することが求められます。
したがって、取得者は十分なリスクマネジメントを行い、サプライチェーン上のセキュリティを管理しなければなりません。
次回は、サプライチェーン上のセキュリティリスクについて考えてみたいと思います。
参考資料
本稿は、以下のサイト、文献を参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。
- 個人情報保護委員会 個人情報の保護に関する法律についてのガイドライン (通則編)
- JIS Q 27001:2014(ISO/IEC 27001:2013)情報セキュリティマネジメントシステム−要求事項
- OECD 責任ある企業行動 (RBC) のためのOECDデュー・ディリジェンス・ガイダンス
- IPA 情報セキュリティ10大脅威
脚注
*1:https://www.ipa.go.jp/security/fy2021/reports/sme/gyoukai-hearing.html
*2:過去のブログでも何回か触れている内容ですが、管理策をすべて実施することは現実的ではなくリスクマネジメントに基づくことにより効率的なセキュリティ対応が可能です。サプライチェーン上のセキュリティマネジメントも同様で、供給される製品に過度なセキュリティ要件を求めることは管理策の不要な重複や高額な対価を招くことになります。
*3:サプライチェーン上の取得者と供給者の定義については、後日、取り上げたいと思います。
*4:ここでの情報の所有者とは、データ保護責任者(DPO)やデータの管理責任者(Owner)のことを表しており、データ主体とは異なります。
*5:最近は、SaaSを利用し業務プロセスを委託(BPO:ビジネスプロセスアウトソーシング)するBPaaS(Business Process as a Service)という委託形態もあります。