セキュリオの機能をISMSの観点から見てみよう【サプライチェーンセキュリティ】

情報セキュリティコンサルタントの立場から、LRMが開発・提供する情報セキュリティ教育クラウド「セキュリオ」の機能がどういうふうにISMSの規格をカバーしているのか整理してみる企画記念すべき第10回、今回はサプライチェーンセキュリティ機能です！

会社のセキュリティを改善するなら情報セキュリティ教育クラウド「セキュリオ」

※特に何か依頼されているわけでもなく、勝手に書いているので筆者の意見と思ってください(笑)

セキュリオ「サプライチェーンセキュリティ」機能について

セキュリオ「サプライチェーンセキュリティ」機能は、委託先を管理することのできる機能です。

また委託先管理のためのセキュリティチェックを実施する機能も合わせて搭載されています。

サプライチェーンセキュリティ | 機能紹介 | セキュリオ

ISMS観点から見るサプライチェーンセキュリティ機能

サプライチェーンセキュリティ機能は規格のどこに当てはまる？対応できる？

【規格本文】

1. 4.1 組織及びその状況の理解
   ＜規格要求＞
   目的に関連し、成果を達成する能力に影響を与える外部・内部の課題の決定。
   
   直接関わるものではないですが、たとえばサプライチェーンセキュリティ機能を用いた供給者管理の中で、多くの供給者に共通するセキュリティリスクなどが見えてくればそれを外部の課題として特定することに役立つことが考えられます。
   

2. 7.4 コミュニケーション
   ＜規格要求＞
   ISMSに関連する内部・外部のコミュニケーション実施の必要性の決定。
   
   直接関わるものではないですが、たとえば供給者の中で組織のISMS運用に関わるような供給者がいるようであれば、サプライチェーンセキュリティの中で特定し、連絡先やコミュニケーション方法などを明確化しておいても良いかもしれません。
   

3. 8.1 運用の計画策定及び管理
   ＜規格要求＞
   要求事項を満たすため、6章で決定した活動を実施するために必要なプロセスの計画、実施、管理。
   
   要求の一部として「ISMSに関連する外部から提供されるプロセス、製品またはサービスが管理されていることを確実にすること」が求められています。
   こちらについてもサプライチェーンセキュリティ機能内でISMSの運用に関連する供給者を管理することで対応の一助になることが考えられます。

【附属書A】

1. 5.14 情報の転送
   ＜規格要求＞
   情報の転送の規則、手順、合意を全ての転送手段に関して備える。
   
   たとえば各供給者と合意した情報転送方法などをサプライチェーンセキュリティ機能内で記載しておくと、スムーズかつ確実な情報転送の実施に役立つかもしれません。
   

2. 5.19 供給者関係における情報セキュリティ
   ＜規格要求＞
   供給者の製品・サービス利用に関するリスクを管理するためのプロセス・手順を定め、実施。
   
   この規格要求への対応方法の一つとして、供給者を特定し、セキュリティチェックを行うという手法が取られます。
   そしてサプライチェーンセキュリティではその一連の取り組みを一つの機能内で管理することが可能です。
   

3. 5.20 供給者との合意における情報セキュリティの取扱い
   ＜規格要求＞
   供給者と、関連する情報セキュリティ要求事項を確立、合意。
   
   合意そのものは契約書等で行われることになりますが、サプライチェーンセキュリティ機能内では、各供給者といつ秘密保持契約をおこなったのかといった記録を残すことも可能です。
   

4. 5.21 情報通信技術（ICT）サプライチェーンにおける情報セキュリティの管理
   ＜規格要求＞
   ICT製品・サービスのサプライチェーンに関するリスクを管理するためのプロセス・手順を定め、実施。
   
   こちらも5.19同様サプライチェーンセキュリティ機能を用いて、供給者の管理やICTサプライチェーンにおけるセキュリティチェックなどに活用することが想定されます。
   

5. 5.22 供給者のサービス提供の監視、レビュー及び変更管理
   ＜規格要求＞
   供給者の情報セキュリティの活動・サービス提供の変更の定常的な、監視、レビュー、評価、管理の実施。
   
   サプライチェーンセキュリティ機能では、次回調査日のアラート設定などを行うことも可能です。
   これらの機能を用いることで定期的なレビューや評価の営みをスムーズに行うことも可能です。
   

6. 5.23 クラウドサービスの利用における情報セキュリティ
   ＜規格要求＞
   クラウドサービスの各ライフサイクルのプロセスを情報セキュリティ要求事項に従った確立。
   
   ライフサイクルの一部には調達も含まれています。
   そして調達段階では、セキュリティチェックなどを行うこともあるためサプライチェーンセキュリティ機能で利用クラウドサービスを特定し、セキュリティチェックの証跡を残しておくといった活用も考えられます。

サプライチェーンセキュリティ機能を使うメリット

ここまではサプライチェーンセキュリティ機能がISMSの規格とどのように関連しているか整理してきました。
続いてISMSでセキュリオのサプライチェーンセキュリティ機能を使うメリットについて考えてみましょう。

1. 委託先とセキュリティチェックの証跡の一元管理
   サプライチェーンセキュリティ機能では、特定した委託先と、各委託先に対して送ったセキュリティチェックのアンケートを紐付けておくことが可能です。
   そのためどういう証跡を元に委託OKとしたのか、また過去にはどういう経緯で判断を行ったのかなどを一元管理できます。
   

2. セキュリティチェックアンケートを機能内で送付できる
   セキュリティチェックで工数がかかる点として、アンケート作成とそのアンケートを各供給者にメール等でコツコツ送付し、その結果を自分たちで分析していく必要があるということが挙げられます。
   その点サプライチェーンセキュリティ機能にはアンケートのテンプレートなども用意されているため、アンケート作成工数を削減することができ、また、結果も機能内にまとまって返ってくるので管理・対応工数を軽減することも可能です。
   

3. 定期調査の抜け漏れを防げる
   供給者管理について、登録初年度はしっかりとセキュリティチェックを行う一方で、2年目以降には実施を忘れてしまうといったケースも少なからず見受けられます。
   その点についても、サプライチェーンアンケートの次回調査日設定によるアラート機能を用いることで、定期チェックの対応漏れを防ぎ、継続的にセキュリティチェックをし続けることが可能です。

まとめ

今回は第10回として「サプライチェーンセキュリティ」機能を取り上げました。

最近では情報セキュリティの脅威として、供給者を元にしたインシデントが多く見受けられるようになっています。
せっかく自分たちが全力でセキュリティ対策を行なっていたとしても一緒にお仕事をしている供給者のセキュリティレベルが高くなければ勿体無いので、サプライチェーンセキュリティ機能の活用などによって供給者含めサプライチェーン全体でセキュリティレベルを高められるような取り組みを行っていきましょう。