はじめに
本書は、政府情報システムの機器調達等におけるサイバーセキュリティに係るサプライチェーン・リスクについて理解を深め、適切に対応するため、その課題整理とセキュリティ対策におけるグッドプラクティスを示す。
目的
本書は「デジタル社会推進標準ガイドライン」におけるセキュリティに関する技術レポートと位置づけており、政府情報システムの開発や運用業務に従事する関係者に対して、政府情報システムの機器調達等におけるサイバーセキュリティ上の主要なサプライチェーン・リスクに関してその背景や影響等を説明し、各リスクへのセキュリティ対策のグッドプラクティスを示すことで、サプライチェーン・リスクに関する理解を深め、適切な対応に資することを目的とする。
なお、サプライチェーン・リスクを含めた政府情報システムに関する網羅的なセキュリティ対策については、政府機関等が講ずるべき情報セキュリティ対策のベースラインとして内閣サイバーセキュリティセンター(NISC)から公開されている「政府機関等のサイバーセキュリティ対策のための統一基準群」[^1]及び「統一基準適用個別マニュアル群」などの関連文書に記載されている。
政府情報システムの開発や運用業務に従事する関係者は、本書に記載されている内容を参照し、政府情報システムの機器調達等におけるサプライチェーン・リスクへのセキュリティ対策を行うことで、サプライチェーンに起因するセキュリティインシデント等のリスクを低減でき、政府情報システムにおけるセキュリティ水準の向上に努めることが期待される。
適用対象
本書は、政府情報システムを適用対象として想定している。
位置づけ
本書は、標準ガイドライン群のInformative(情報提供)のレベルの参考文書である。
本書の構成
第2章では、サプライチェーン・リスクに関連する社会的な情勢や、サプライチェーン・リスクへのセキュリティ対策の必要性について言及するとともに、サプライチェーン・リスクの分類とその定義について解説する。なお、第2章は、第3章以降を読み進める際の前提となるため、留意すること。
第3章では、サプライチェーン・リスクへの対応にあたって、どのような政府情報システムにおいても対応が求められる実施事項を記載する。サプライチェーン・リスクへの対応にあたっては、まず、本章の内容を認識することに留意すること。
第4章では、第2章の政府情報システムにおけるサイバーセキュリティ上のサプライチェーン・リスクの分類に従って、分類ごとに想定される、主要なサプライチェーン・リスクの概要とそのセキュリティ対策を記述する。主要なサプライチェーン・リスクの選定については、政府情報システムへの監査やセキュリティに関する支援を通じて特に重大な影響を及ぼす可能性や発生頻度が高いと考えられるリスクや、世の中で発生した具体的なサプライチェーン関連の事例を踏まえた。また、セキュリティ対策については、技術的対策だけではなく管理的対策等も重要となるため、複数の観点から必要な対策を記載する。読者は、本章を基に自らの担当業務等のセキュリティ対策を見直すことで、サプライチェーン・リスクの低減が期待される。
用語
本書において使用する用語は、表1及び本書に別段の定めがある場合を除くほか、標準ガイドライン群用語集による。その他専門的な用語については、民間の用語定義を参照すること。
表1 用語の定義
| 用語 | 意味 |
|---|---|
| サプライチェーン | サプライチェーンとは、一般的に、製品やサービスが原材料の調達から生産、加工、流通、販売を経て、最終消費者に届くまでの一連の流れを指す。本書では、政府情報システムに関連するサプライチェーンを対象とし、機器、ソフトウェア、クラウドサービス等の開発から納入までの一連の工程やその関連企業等に加え、政府情報システムのライフサイクル全般に関わる関連企業等についても、サプライチェーンとする。 |
| 政府情報システムの機器調達等におけるサイバーセキュリティ上のサプライチェーン・リスク | 本書では、政府情報システムの機器調達、外部委託、クラウドサービス選定等におけるサプライチェーンに関するサイバーセキュリティリスクを取り扱う。例えば、サードパーティ製の機器を調達する際の製造元に関するサイバーセキュリティリスク、外部委託先の管理に関するサイバーセキュリティリスク、クラウドサービスの運用に関するセキュリティリスクなどがある。 |