• はじめに
• １．管理策の概要
• ２．具体的な実施例
  • １）状況の設定
    • ① 適用範囲
    • ② 組織と供給者の関係性
    • ③ 役割と責任
    • ④ 実施のタイミング
    • ⑤ 実施手法
    • ⑥ リスクの重大性を決定するための基準
    • ⑦ リスクが受容可能かどうかを決定するための基準
    • ⑧ リスク対応の選択肢
  • ２－１）リスク特定
  • ２－２）リスク分析
  • ２－３）リスク評価
  • ３）リスク対応
  • ４）リスクモニタリングとレビュー
  • ５）リスクコミュニケーション
• まとめ
• 参考資料
• 脚注

はじめに

　情報セキュリティのための管理策の中で組織的対策として分類されている「供給者関係における情報セキュリティ」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。

１．管理策の概要

　先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認します。

ISO/IEC 27002:2022 5.19 Information security in supplier relationships から引用

Purpose：
To maintain an agreed level of information security in supplier relationships.
管理目的：
供給者との関係において、合意されたレベルの情報セキュリティを維持するため。

Control：
Processes and procedures should be defined and implemented to manage the information security risks associated with the use of supplier’s products or services.
管理策：
供給者の製品又はサービスの利用に関連する情報セキュリティリスクを管理するために、プロセス及び手順を定め、実施することが望ましい。

※）英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

　過去の記事にも書きましたが、情報セキュリティマネジメントは、リスクマネジメントプロセスに基づくことで、セキュリティ管理策を過不足なく効果的かつ効率的に実装でき、セキュリティリスクを適切に維持することができます。

blg8.hatenablog.com

　供給者が関係する情報セキュリティについても同様のことが言え、本管理策では、そのリスクマネジメントのためのプロセスと手順を定めることが求められています。

２．具体的な実施例

　ここからは、供給者が関係する情報セキュリティをリスクマネジメントプロセスに基づき管理するための具体的な実施方法について考えたいと思います。
　考え方はいたってシンプルです。組織で既に運用されているセキュリティリスクマネジメントフレームワークの適用範囲（scope）に供給者が関係するリスクも含め管理することになります。
　今回も過去の記事と同じようにISO/IEC DIS 27005:2021の情報セキュリティリスクマネジメントサイクルをベースに、供給者が関係することで追加、及び補完すべき活動（アクティビティ）を各プロセスごとに考えることにします。

１）状況の設定

　リスクアセスメント及びリスク対応の判断結果には、一貫性、再現性が求められるため、この状況の設定プロセスにおいて、供給者との関係性を理解し、情報セキュリティリスクマネジメント方針への反映又は供給者が関係するセキュリティリスクに特化した個別方針の策定により方向付けを行い、その管理手法と基準を定め、組織内外において標準化します。

blg8.hatenablog.com

※）本稿では、供給者が関係する情報セキュリティリスクを管理するための個別方針（以下、「個別方針」と呼びます）を策定すると仮定し進めます。

① 適用範囲

　組織が管理対象とする範囲（組織がセキュリティリスクを直接管理しようとするサプライチェーン上の範囲）を定めます。具体的な内容としては、供給者の先に存在する再委託先などの関係組織を特定し、その管理方針を定めるなどが考えられます。
　IPAから2017年に発行されている調査報告書*1には、企業へのヒアリング結果として、再委託先の運用に関し、主に次のような2種類の形態が採られているという趣旨の報告がされています。

• 原則、再委託を禁止しつつも、例えば、再委託先の社員を委託先に常駐させるなど、条件次第で例外的に容認する
• 再委託を容認しつつも、再委託先がセキュリティ対策状況等の必要とする情報を開示しないなど、条件次第で禁止する

　このように組織の基本方針や供給者との関係性などにより、適用範囲、及び再委託先の管理方針の内容は左右されるため、次項以降で掘り下げて考えます。

② 組織と供給者の関係性

　一言で供給者が関係するセキュリティリスクと言っても、その関係性により組織に与える影響は異なります。したがって、その個別方針は一律に策定するのではなく、組織の事業形態により想定される供給者との関係性に応じた内容にすることで効果的に管理することが可能です。
　具体的には、既存、又は新規で取引する供給者が組織に与える影響の大きさや組織のガバナンスの及ぶ範囲などに影響する各指標を特定し、その指標による分類基準と分類毎の管理方法を予め定めます。
　上記基準をベースに、例えば、公開情報や与信調査結果などから得られる供給者の分類に対し、それぞれ個別方針を適用することで、効果的、効率的なリスクマネジメントが可能になります。
　供給者を分類するための基準策定時に考慮すべき指標は、次のようなものが考えられます。

• 供給の対象
  

　組織と関係する可能性のある供給者のタイプを特定します。例えば、供給者関係におけるセキュリティマネジメントのガイドライン規格であるISO/IEC 27036-2:2022の要約では、次のように供給の対象が例示されています。

ISO/IEC 27036-2:2022　Abstract　より一部抜粋し引用

These requirements cover any procurement and supply of products and services, such as manufacturing or assembly, business process procurement, software and hardware components, knowledge process procurement, build-operate-transfer and cloud computing services.

これらの要求事項は、製造又は組み立て、業務プロセスの調達、ソフトウェアやハードウェアの構成部品、知識プロセスの調達、一括事業請負後譲渡方式（BOT：Build-operate-transfer）、クラウドコンピューティングサービスなど、製品やサービスのあらゆる調達と供給を対象としている。

※）英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

　さらに、上記のような供給者のタイプから想定されるセキュリティ事象を明らかにすることで、組織に与える影響を把握することができます。
　脅威、及び想定されるセキュリティ事象については、前回の記事で紹介した次の３タイプによる分類なども参考になると思います。
　・サプライチェーンを経由した攻撃
　・サプライチェーン攻撃
　・サプライチェーン構造に起因するリスク

blg8.hatenablog.com

• 取引規模や関係性
  　一般的に取引規模が大きい場合や長期的な取引関係がある場合は、組織による供給者への信頼や依存度は高く、組織が求めるセキュリティ要件に対し供給者が応じてくれる可能性は高くなります。それに反し、規模が小さく取引が短期的な場合は、逆の傾向があるため、リスクアセスメント時の判断に影響を与えます。
  　さらに、リスク対応時のアプローチの仕方にも影響を与える可能性があります。例えば、長期的な業務提携を前提にした供給者の場合、リスクの大きさに加え、その組織との協力により得られる事業上の価値も考慮が必要となる可能性があります。他方、一時的な取引に限定される場合、その組織との協力により得られる価値はあまり考慮せず、リスクの大きさのみでその対応を判断することが多くなります。
  　上記のような観点で「戦略的」、「戦術的」、「運用上」、「コモディティ」というように組織と供給者の関係をカテゴリ分けすることで、効果的、効率的なリスクマネジメントができると考えられています。

　他にも以下のような指標がセキュリティリスクに影響を与えます。

• 取り扱う情報の種類、重要度
  　供給者が取り扱う可能性のある組織の情報の種類、例えば、その情報に対し求められる法的要件の有無、事業上の重要度、セキュリティの3要素（機密性、完全性、可用性）など。
  

• 提供される製品、サービスが組織に与える影響
  　供給者から提供される製品やサービスが組織の事業へ与える影響の大きさや組織の脆弱性に与える影響の大きさ。
  

③ 役割と責任

　過去の記事でも述べた通り、サプライチェーン上におけるインシデントの発生などの結果に対する説明責任（accountability）は、原則、取得者側にあります。したがって、ここで明らかにするのはセキュリティ管理策の実施やセキュリティリスクマネジメントの実施責任（responsibility）の在り方に関する内容です*2 。

　セキュリティリスクマネジメントに基づき考えると、供給者によるセキュリティ管理策の実施責任は、合意文書に基づき担保されることが原則となるため、組織と供給者の関係性も、その可否に基づき次のように分類できます。

• 契約時に、組織がセキュリティ要件を提示し、合意事項の中で供給者に対しその実施義務を課すことができる範囲を交渉可能なケース*3（以下「交渉可能なケース」と呼びます）
• 契約時に、供給者により定められた使用許諾や利用規約に組織が同意することでその利用が認められ、その内容に関し交渉の余地が無いケース*4（以下「交渉の余地が無いケース」と呼びます）

　上記、２つのケースの管理方法については、２－３）リスク評価で後述します。

④ 実施のタイミング

　組織で既に運用されているセキュリティリスクマネジメントフレームワークと同じように、「戦略サイクル」と「運用サイクル」 の二種類の実施サイクルを採用することで、長期的なセキュリティマネジメントの維持改善とセキュリティ事象に対する速やかな意思決定を両立することができます。供給者が関係するセキュリティリスクマネジメントの各サイクルにおける実施内容のイメージを下図に示します。

⑤ 実施手法

　実施手法に関しても、組織で既に運用されているセキュリティリスクマネジメントフレームワークの適用範囲に含め管理されるため、原則はそれに準じますが、例えば、合意すべき内容、供給者の評価・選定方法、セキュリティ管理策の実施状況の確認方法、情報の共有方法、維持継続のための方法など、供給者が関係することで発生する特別な管理手法についても、方向性を明らかにしておく必要があります。

⑥ リスクの重大性を決定するための基準

　リスクに関する基準については、原則、次のような事項を明らかにし組織内の基準と同等のものを求めます。

• 供給者を選定するプロセスにおいて事前調査すべき内容とその評価方法*5
• 上記関係組織に関するリスクアセスメントの実施方法

　上記以外にも、リスク対応時にリスク保有（許容）の判断に影響する供給者の必要性とそのメリットについても考慮が必要です。
　さらに、個々のセキュリティ管理策を組織又は供給者のどちらで実装するか検討し、供給者に提示するセキュリティ要件を明らかにします。その際に考慮すべき点など、詳細については次回の記事で考察したいと思います。

⑦ リスクが受容可能かどうかを決定するための基準

　リスクが受容可能かどうかを決定するための基準は、原則、組織内の場合と同程度となります。

⑧ リスク対応の選択肢

　リスク対応の選択肢に関しては、供給者との合意の仕方によって異なります。

• 交渉可能なケース
  　組織内のセキュリティリスクマネジメント方針に準じ、リスク対応を行います。その中では、供給者が合意事項に違反した場合の是正処置方法についても明らかにしておいた方が良いと思われます。

• 交渉の余地が無いケース
  　受容基準を超えたリスクに対し、供給者が提示する制約の中で実施しうるリスク対応の選択肢には、次のようなものがあります。
  　セキュリティ要件を満たす他の製品、サービスを探す。その結果、組織の機能要件を満たすものが他にも見つからない場合は利用しない（リスク回避）
  　供給者により提供される製品やサービスなどのメリットや必要性を考慮し、リスクを許容し利用する（リスク保有）
  　供給者により実装されるセキュリティ管理策で不足している部分を組織により補う（リスク低減）
  　※）交渉の余地が無い前提ではありますが、可能であれば、セキュリティ管理策の実施を覚書やSLAなどの追加文書により合意することでもリスク低減が期待できます
  

２－１）リスク特定

　次の事項を含む組織内外の状況を理解することで供給者が関係するリスクの特定漏れを防ぎます。

• 供給者及び供給者により提供されるサービスなどにより、組織外部で処理、伝送、保存される組織の情報及びその他関連資産
• 組織のセキュリティリスクに影響を与え得る供給者が提供する製品及びサービスの種類（例えば、ICT関連製品、システム運用保守、ビジネスアウトソーシング、製造委託、クラウドサービスの利用など）
• 供給者がアクセス、監視、制御、利用することが可能な組織の情報及びその他関連資産（例えば、ICTサービス、物理的基盤など）
• SBOMなどの供給者から提供される製品やサービスの構成情報（例えば、使用されているライセンスソフトウェア、オープンソースソフトウェアなど）
• 組織内部、及びサプライチェーン上の利害関係者におけるセキュリティリスクマネジメント上の権限及び責任
• 業界、地域、組織固有のリスク要因
• 供給者が組織の情報を保管する位置情報とその法域での関連法令
• 供給者が製品、又はサービスを納入する各ケースで想定される供給者の要員の悪意に基づくリスク*6
• 供給者が提供する製品やサービスによる誤動作、構成要素を含め内在する脆弱性
• 供給者が関係する過去のセキュリティインシデントの発生状況、及び対応内容の適切性
• 供給者が公表しているセキュリティ関連の認証状況や外部機関による監査報告書、セキュリティ方針、セキュリティレポートの有無や内容
• 供給者の属性情報（市場シェア、企業年齢、ビジネス環境や業種）
  

２－２）リスク分析

　特定したリスクに対する自組織への影響を試算します。供給者及び取得する製品、サービス毎に、例えば、次のような考慮事項を含めリスクの重大性を分析します。

• 特定した供給者の種類（例えば、ICT関連製品、システム運用保守、ビジネスアウトソーシング、製造委託など）による組織の事業への影響度
• 特定した供給者により提供されるICT関連の製品及びサービスの組織の事業への影響度
• 供給者がアクセス、監視、制御、利用することが可能な組織の情報、ICTサービス、物理的基盤が組織の事業に及ぼす影響度

※）サプライチェーンの場合、供給網に関連するため、セキュリティの３要素の中でも可用性（事業継続）に対する要求が高くなる傾向を考慮し分析します

２－３）リスク評価

　前述のように、供給者が関係するセキュリティリスクの評価内容は、供給者との合意の仕方によって異なります。

• 交渉可能なケース
  　リスク分析結果に基づき、組織のセキュリティ方針を満たすために必要となる管理策の実装を供給者に要求し、その実施義務について文書により合意します。
  

※）なお、取得者が供給者に対し、セキュリティ管理策の実施を要請する場合は、取得者は、独占禁止法上の優越的地位の濫用や下請法上問題にならないことを考慮しなければなりません。（気を付けるべき点については、経済産業省と公正取引委員会から連名で公開されている「サプライチェーン全体のサイバーセキュリティ向上のための 取引先とのパートナーシップの構築に向けて」が参考になります）

• 交渉の余地が無いケース
  　組織の機能要件を満たす供給者のサービス又は製品を評価・選定し、組織が求めるセキュリティ要件の充足度をレビューします。評価時に用いる情報は、原則、使用許諾や利用規約のような遵守性が求められる文書*7ですが、その中で組織が求めるセキュリティ要件が満たされることは稀*8であるため、実際の管理策の実装状況を参考にすることがあります*9 。
  　その場合は、例えば、クラウドサービスの評価であれば、ISMAPなどの公的な評価制度や、第三者によるリスク評価サービス（レイティングサービス）などの情報を参考にすることで効率的な評価が可能になります。

３）リスク対応

　”１）状況の設定” で定めた「リスク対応の選択肢」の方針に従い、リスク対応を実施します。
　リスク対応の実施方法は、合意文書に基づく供給者への要請や組織による補完管理策の実施など多岐に渡ります。供給者に対し、リスク対応を求める場合は、組織が、正確な情報収集やレビューからリスクを正確に把握し、方針やより詳細な手順などの適切な情報を提供することで有効な結果が得られます。そのためには、供給者との協力関係、信頼関係に基づく密なリスクコミュニケーションを取ることが重要です。
　なお、セキュリティリスクを回避するために、供給先と取引をしない（又は既存の供給先との取引を停止する）ことを検討する場合には、事業及び業務上のその供給者の重要性などを考慮し、かつ、ビジネスオーナーなどの事業リスクの所有者による承認が必要になる場合があります。

４）リスクモニタリングとレビュー

　組織内のセキュリティリスクマネジメントと同様に供給者が関係するセキュリティリスクに関してもモニタリングとレビューを行い、必要に応じ改善要求を行います。

blg8.hatenablog.com

　具体的には、供給者におけるセキュリティマネジメント及び各種セキュリティ管理策の実施状況やその有効性をモニタリングしますが、組織が直接監視できないケースも多いため、第三者による監査などにより対応することもあります。
　供給者が関係するリスクのモニタリングとレビューの際に考慮すべき点には次のようなものが含まれます。

• 変化が生じた時、及び定期的なレビューとリスクマネジメントの実施（組織のリスクマネジメント方針に準ずる）
• 組織が求めるセキュリティ要件の遵守状況（第三者のレビュー及び製品の妥当性確認を含む）
• サービス提供内容のモニタリングとセキュリティ事象、及びインシデントの検知・報告
• 供給者が実施しているセキュリティ管理策の有効性の変化
• 供給者に提供した情報及びその他関連資産の管理状況
• 供給者が関係するリスクを含めた脅威インテリジェンスの実施
• 供給者におけるセキュリティ監査の実施状況
• 再委託先の使用状況及び管理状況

　さらに、モニタリングから得られた結果は供給者選定時や契約時に見落とされていたリスクの再確認や改善にも役立てられます。

５）リスクコミュニケーション

　例えば、セキュリティリスクマネジメント方針などのセキュリティ要件を組織から供給者に伝える、あるいは、セキュリティ要件の遵守状況やセキュリティインシデントの発生について供給者から組織に報告するなどのリスクコミュニケーションのためのルートや窓口について事前に明らかにします*10 。また、ISACなどの情報共有機関を設け組織横断的な連携が行われている業界もありますので、参加することで効率的なリスクコミュニケーションが可能になります。

　組織が供給者に対し通知すべき内容には次のようなものが含まれます。

• 組織のセキュリティ方針、手順、ガイドラインなどのセキュリティ要件
• 合意事項に反する事象が発生した場合の措置とその実施責任
• セキュリティアセスメント、監査、評価に関する要件
• 情報セキュリティ教育・訓練、及び認定の要件
• セキュリティに関する契約条項、SLA、及びその他の合意事項に関する要件
• セキュリティ上の重要な変更、改善、及び問題の報告に関する要件
• セキュリティに関する法令、規制遵守に関する要件

　組織が供給者からの報告を求めるために事前に協議すべき内容には次のようなものが含まれます。

• セキュリティ事象及びインシデントの発生とその影響、対応状況に関する報告
• 新しいシステムやアプリケーションなど、変更があった時のセキュリティリスクアセスメントに関する報告
• セキュリティに関する問題や懸念事項、リスクについての報告
• セキュリティ方針、手順、ガイドラインなどへの違反に関する報告
• 供給者によるセキュリティリスクマネジメントの改善や進捗状況についての報告
• 供給者が保有する組織の情報及びその他関連資産のセキュリティに関する報告
• 供給者が提供する製品及びサービスの危殆化など、脆弱性に関する報告
• 第三者機関によるものを含め、セキュリティ監査や評価結果に関する報告
• 要員に対するセキュリティ教育・訓練及びその有効性に関する報告
• セキュリティに関する法的な変更や規制の影響、懸念事項に関する報告

まとめ

　今回は「供給者関係における情報セキュリティ」について考察しました。本管理策を実装することで、供給者との関係においても組織が求めるセキュリティレベルを維持することが可能になります。
　供給者の選定、合意形成、モニタリング、評価など、供給者との関係を解除するまでの各場面において、リスクマネジメントサイクルの各プロセスを適用することで効果的にセキュリティリスクを管理することが可能となり、さらに、供給者から取得する製品やサービスの選定から利用終了までのライフサイクルの各プロセスに関しても、リスクマネジメントサイクルの視点に基づくことで同様の効果が得られます。
　また、組織が供給者に対し直接ガバナンスを及ぼすことが難しい*11ことを考えると、供給者で実施されるリスクアセスメントとリスク対応の状況を正確に見極めるために有効なリスクコミュニケーション及びリスクモニタリングをいかにして実現するのか工夫が必要になります。

参考資料

• ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
• ISO/IEC DIS 27005：2021 Information security, cybersecurity and privacy protection — Guidance on managing information security risks
• IPA 情報セキュリティに関するサプライチェーンリスクマネジメント調査 ー調査報告書ー
• ISO/IEC 27036-2:2022 Cybersecurity — Supplier relationships — Part 2: Requirements
• 経済産業省/公正取引委員会 サプライチェーン全体のサイバーセキュリティ向上のための 取引先とのパートナーシップの構築に向けて

脚注