政府情報システムにおけるサプライチェーン・リスクの概要
サプライチェーン・リスクの情勢
政府情報システムに限らず、情報システムの構築・運用・保守においては、サードパーティ製の機器やソフトウェアの利用だけでなく、業務委託や各種サービスの活用など、自組織のみで対応することが難しい場合に、専門の外部事業者に依頼することがある。これらの外部事業者やその従業員はすべてサプライチェーンの一部と見なされる。特に近年ではクラウドサービスの利用が前提となり、サプライチェーンが一層拡大している。
その結果、表2に示すように、サプライチェーンに起因するセキュリティインシデントが多発しており、その被害も日々拡大している。
表2 サプライチェーンに起因するセキュリティインシデント
サプライチェーン・リスクへのセキュリティ対策の必要性
表2の事例が示すように、自らの組織や情報システムのセキュリティ対策のみならず、サプライチェーン全体のリスクも考慮した上で、適切なセキュリティ対策を実施しなければ、結果的に自らにまで悪影響が及ぶことになる。そのため、政府情報システムにおいても、表3に代表されるサプライチェーン・リスクに起因する大規模な攻撃や事故等に備えて、様々な観点で十分なセキュリティ対策を実施することが求められる。
さらに、様々な情報システムやモノが繋がる時代において、サプライチェーン・リスクの影響は特定の機関に限定されず、複数機関、ひいては政府全体にまで波及する可能性を懸念し、多層でのセキュリティ対策を実施することが求められている。
また、サプライチェーン・リスクは、経済安全保障分野においても想定されている。「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」(令和4年法律第43号)に基づく「特定妨害行為の防止による特定社会基盤役務の安定的な提供の確保に関する基本指針」[^2]では、特定妨害行為[^3]の例示として、我が国の外部から特定社会基盤役務の安定的な提供を妨害しようとする主体の影響を受けた特定重要設備又は構成設備の供給者が、当該特定重要設備に不正なプログラムを埋め込み、そのプログラムにより当該特定重要設備の機能を停止させ、又は低下させる行為といったものなどが挙げられている。
以上を踏まえると、サプライチェーン・リスクへの対応を喫緊の課題として認識し、実施することは極めて重要である。
表3 サプライチェーン・リスクに起因する影響例
政府情報システムにおけるサプライチェーン・リスクの分類と定義
本書では、政府情報システムにおけるサプライチェーン・リスクの分類と定義について、「政府機関等のサイバーセキュリティ対策のための統一基準群」でサプライチェーン・リスクに言及している「第4部 外部委託」において、業務委託、クラウドサービス、機器等の調達に分けて遵守事項等が定められていることを基に、政府情報システムの開発や運用業務に従事する関係者、システムの構成要素、サプライチェーンに関するインシデント事例などを考慮した。
以上を踏まえ、政府情報システムにおけるサプライチェーン・リスクを、表4のとおり、3つに分類して定義する。
表4 政府情報システムにおけるサプライチェーン・リスクの分類と定義
| リスクの分類 | 定義 |
|---|---|
| ビジネスサプライチェーン・リスク | 政府情報システムの開発・運用・保守等の業務を請け負う委託先や再委託先(それ以降も同様)に関連する、内部不正による情報漏えいやマルウェア感染等のサイバー攻撃による事業停止等が発生するセキュリティリスク |
| サービスサプライチェーン・リスク | 政府情報システム等で利用する事業者によって提供されるクラウドサービスに関連する情報漏えい、業務停止等が発生するセキュリティリスク |
| 機器・ソフトウェアサプライチェーン・リスク | 政府情報システムで利用するソフトウェアやハードウェアに含まれるバックドアや致命的な脆弱性が悪用され、システムへの不正アクセスやマルウェア感染等のサイバー攻撃を受け、情報漏えい、業務停止等が発生するセキュリティリスク |