サプライチェーンセキュリティの必要性
サプライチェーン攻撃に関するニュースが増えている。IPAが毎年発表している10大脅威の中でも、ここ数年、サプライチェーン攻撃は常に上位に位置するという。多発するサプライチェーン攻撃にどう対処すればいいのか。
さらに、昨今の世界情勢が対応を急がせる要因になっている。キーワードは「経済安全保障」。2022年5月に成立した経済安全保障推進法は、「1. 供給網の強化」「2. インフラの安全確保」「3. 先端技術の官民協力」「4. 特許の非公開」の4つの柱で基本政策を立案し、2年以内の施行を目指す方向性が決定している。
まず、1番の「供給網」とはサプライチェーンのことである。その途絶の発生で、国民生活や経済活動に甚大な影響を及ぼす恐れのある物資を「特定重要物資」として指定し、その安定供給のための財政支援を行う方向である。2番については、14業種を対象に安全保障上の脅威になりうる外国製品が入らないような仕組みづくりを目指す。3番は、AIや量子テクノロジーのように、軍事転用の可能性のあるものの保護を強化する。4番は安全保障と関連する特許情報については海外に漏洩しないようにするなどだ。
内海氏によると、国内サイバーセキュリティ戦略でも、経済安全保障の観点を強く意識する傾向が顕著だという。内閣サイバーセキュリティセンター(NISC)のサイバーセキュリティ戦略をよく読むと、「サプライチェーン」という言葉が頻出する。セキュリティリーダーには、自組織を守るだけでなく、取引先を含めたサプライチェーン全体を守るという考え方への転換が求められるようになってきた。
また、防衛省が2022年4月に発表した新しい調達基準は、現行のものよりも厳格なものになった。2023年度から適用開始となるこの新基準では、米国防省の調達基準と同じ「NIST SP800-171」への準拠が求められることになった。米国政府が採用するクラウドのセキュリティ認証制度「FedRAMP」が、日本で「ISMAP」として制度化されたように、今後の日本政府の調達基準も“日本版NIST SP800-171”として制度化される可能性は高い。経済安全保障の文脈で、大企業のセキュリティリーダーには、サプライチェーン全体で制度に即した対策ができるかが問われている。
もう1つ、米国政府の動向で重要なのが、連邦政府が利用するソフトウェアベンダーへのSBOM開示を義務付ける大統領令が2021年5月に発令されたことだ。日本政府への影響波及を見越して、SBOM開示への対応の準備を進める必要も出てきそうだ。