経済安全保障推進法でサプライチェーンのリスク可視化が必須に
経済安全保障推進法とは、経済活動において国家や国民の安全を維持するために、リスク管理の基本方針策定や、必要な制度の創設を定めた法律である。2021年、Apache Log4jライブラリに関する複数の脆弱性が報告されたことなどを皮切りに、日本でもサイバーセキュリティ確保への対策が急務だという動きが起こり誕生した。
同法律が最初に交付されたのは2022年。そこからは段階的な施行が行われ、2024年5月からは、「重要インフラ事業者は、重要設備の導入時にリスク管理施策の導入計画を届出し、審査を受ける」義務が生じる。また、サプライチェーンの導入計画書の届出時に、リスク対策状況を確認できる資料などの提出が求められるなど、より具体的な行動が要求されるようになった。
NRIセキュアテクノロジーズの御舩愛輔氏は、本講演でソフトウェアサプライチェーンのリスク管理施策に焦点を当てた解説を行った。ソフトウェアの開発には、そのプロセスの中で多くの事業者が関わる。そのため、オープンソースソフトウェア(OSS)の使用を含め、リスク混入の可能性が様々な局面で存在する。
講演の冒頭、御舩氏は「リスクが混入する箇所を特定することが困難であるのは間違いない」としながらも、この責務から逃れることは不可能であり、特定と整理に必要な知識をつけなければならないと強調した。
[画像クリックで拡大表示]
リスク管理施策に活用できる国内外のガイドライン
リスク管理施策の作成に向けて、御舩氏は安全な開発を促進するガイドラインの利活用を推奨した。一般的に、多くのガイドラインではセキュアな開発のための要求事項が定められている。活用するガイドラインとしては、NISTの「Supply Chain Risk Management Practices for Federal Information Systems and Organizations」や米政府が資金提供するMITRE(マイター)社の「System of Trust」など、それぞれの目的に応じて国際的に多くのガイドラインがある。また、経済安全保障推進法においても「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について」にて「リスク管理措置の一覧」が提供されている。
たとえば「リスク管理措置の一覧」では、特定社会基盤役務者に向けたリスク管理施策として、「特定重要設備に、悪意のあるコード等の混入を確認する受入検査、その他の検証体制を構築すべき。脆弱性テストを導入までに実施すべき」といった概要が記載されており、実際のリスク管理措置の参考にできる。
また、ソフトウェアのライフサイクルにおける工程ごとにリスクや要求事項を分類して整理することで、抜け漏れを防ぐことが可能だ。次図のように一覧化して整理すれば、工程ごとに考慮すべきリスクの有無を確認しやすくなる。
さらに、組織のITプラクティス戦略策定などで用いられるPPT(People、Process、Technologies)フレームワークを使用し、「人員・プロセス・技術」の観点から領域ごとに顕在化するリスクを検討すれば、より網羅的にリスクの主体や対する要求事項の整理ができるようになると御舩氏は説明する。
