サプライチェーンの話

皆さん、こんにちは。
NTTデータの北代です。

最近、セキュリティに関する情報収集をしていて、
　そういうことだよね！
という再認識があったので、ちょっとご紹介します。

タイトルにある通り、サプライチェーンの話です。

最近、サプライチェーンと言うと、米中台間で
キナ臭くなってきている、世界的な半導体の
主導権争いあたりが真っ先に思い浮かぶかと思います。

実際、我々の棲むIT業界にとって、半導体の安定供給は
生命線ですので、早く安定した供給が行われることを
願わずにはいられません。
（日本もがんばれ～！）

で、今日は、セキュリティに関するサプライチェーン
の話になります。

サプライチェーンとは、製品を作るにあたり、製品の
もととなる部品、部品のもととなる加工品、加工品の
もととなる原材料、といった感じで、原材料から
製品にまでいたる、一連のつながりのことです。

これが、何らかの理由（戦争、気候変動、自然災害
などなど）で途切れると、製造業としては事業継続を
揺るがしかねない大きなダメージを喰らうため、
きちんと管理しましょうということで近年注目されて
いるんですね。

最近は、フェアトレードの確認も、同じように
行われていますよね。

https://www.fairtrade-jp.org/about_fairtrade/

一方、セキュリティのサプライチェーンも同様の話
ではありますが、ちょっと話がややこしくて、
ソフトウェアを製造するにあたり、使用している
ライブラリやモジュールなどについての仕入れに
関する話になってきます。

仕入れてきたライブラリを見ると、それが依存する
また別のライブラリがあり・・・なんて話になると、
さらに先を追いかけてけっこう大変な追跡を
しなければなりません。

とはいえ、そこに至るまでに、セキュリティホールや
意図的な改竄などがあると大きな問題になるので、
どこの誰がどうやって作ったのか、それは安全な
ものなのか、というところをきちんと把握して
おかなければならない、というものです。

またもし、万が一セキュリティホールなどが
見つかったりすると、その問題を修繕するか、
使用をやめるか、ということを判断しなければ
ならなくなります。

しかもこのテの話は自分では手を下せず、
直してくれるのを待つ、という、厄介な状況に
なってしまいます。

ということで、こういう状況に陥らないよう、
SBOM管理をしっかりしましょうねーなんていう話
だったのですが、
　こっから先はカラフルな・・
ではないですが、こっから先は説明が小難しくなって
しまいますので、興味を持たれた方は詳しい人に
聞いてみてください。

全世界待望！SBOMによるサプライチェーンセキュリティ強化

なお、私が最近、影響をモロに受けている
サプライチェーンは、自動車の部品です。

最近、クラッチの戻りが悪いんですが、
ディーラーによると、修理に必要な
クラッチマスタとレリーズのアセンブリ
（組み上げパーツみたいなもの）が
生産終了していて手に入らないとのこと。

海外の怪しいサイトだと、まだ売っている
ようにも見えるんですが、さすがに怖くて
手が出せない。。

いや、本当に困りますね。

やけになって調べていると、アセンブリを
構成しているパーツだけ、OEM製造している
会社が売っていることがわかり、それを
ディーラーの修理工場に持ち込んだら
直してくれることになったので、ひとまずは
落ち着きました。

とはいえこの先、いつまで乗れることやら。。

ちなみに、こんな車です。

ランエボの偉大なる先人「三菱ギャランVR-4」賛歌｜セダン｜Motor-Fan[モーターファン]

マケプレは以下のURLから。
記事に関するコメントなども、
「お問い合わせ」からどうぞ。
https://nttdata-mp.com/