NIST CSF 2.0とSP 800-161による政府機関のサプライチェーンセキュリティに関するレポート【Gftd Japan株式会社 2024年4月版】

英語原文：https://cybersecurity.gftd.co.jp/blog/government-supply-chains-security-with-nist-csf-2.0-and-sp-800-161
著者：Artem Ponomarov
抄訳：河崎純真

目次: 

• サプライチェーンリスクとは何か？
• NIST CSF 2.0 とサプライチェーンリスクへのアプローチ
• 日本企業におけるNIST Special Publication 800-161 サプライチェーンリスクマネジメントの実践に関するガイダンス 

はじめに  

今日のデジタル時代において、サプライチェーンの安全確保は、国家の安全保障、経済の安定、そして国民の信頼にとって極めて重要です。重要なインフラや機密データの保護を任務とする政府機関は、進化するサイバー脅威からこれらの資産を保護するという課題に直面している。材料調達から公共サービスの提供に至るまで、現代のサプライチェーンの複雑なネットワークは、敵対者による悪用に対して脆弱です。

本稿では、NISTのサイバーセキュリティ・フレームワーク（CSF）2.0とSpecial Publication 800-161に基づき、政府業務におけるサプライチェーン・リスク管理（SCRM）について検討する。また、サイバー脅威から政府のサプライチェーンを保護するための方法論、ベストプラクティス、課題を検証する。これらのフレームワークを組織のリスク管理に統合することは、グローバルに接続された環境において政府サービスの継続性と完全性を確保する、一貫したサプライチェーンセキュリティ戦略にとって不可欠である。

Gftd Japan株式会社のような外部のコンサルティング会社は、SCRMの複雑性に対処するために、貴重な専門知識とソリューションを提供します。Gftd Japan株式会社は、リスク評価フレームワーク、継続的モニタリング、戦略的緩和プランを提供し、政府機関がサプライチェーンの脆弱性を特定・管理できるよう支援します。Gftd Japan株式会社と提携することで、サプライチェーンの回復力を強化し、政府機関にサプライチェーンにおけるサイバー脅威に対抗するために必要なツールを提供することができます。

本稿の目的は、政府のサプライチェーンセキュリティを強化するための実用的な洞察を提供することであり、Gftd Japan株式会のような企業とのコラボレーションがサプライチェーンのリスク管理に対する包括的なアプローチをどのようにサポートできるかを強調することである。このコラボレーションは、国民に効果的にサービスを提供する安全で強靭なデジタル・エコシステムを構築するために不可欠です。

第1部. サプライチェーンリスクとは

サプライチェーンリスク入門

定義と重要性 

サプライ・チェーンは、製品やサービスの最初の構想、原材料の調達から消費者への最終的な納品までの全行程を包含する。この複雑なネットワークには、設計、生産、配送、使用といった一連のステップが含まれ、その過程で多数のサプライヤー、製造業者、販売業者が統合される。政府組織の文脈では、サプライチェーンは各部門のシームレスな運営にとって極めて重要であるだけでなく、国家安全保障や公共の福祉にとっても極めて重要である。こうしたサプライチェーンの効率性、信頼性、安全性は、政府の業務や国民に提供されるサービスの効果に直接影響する。

デジタル時代において、サプライチェーンは物理的な境界を超え、情報通信技術（ICT）や運用技術（OT）システムを取り込み、より複雑で相互接続されたものとなっている。このデジタル統合は、効率性と革新性を高める一方で、多くのサイバーセキュリティ・リスクをもたらしている。これらのリスクは、サプライチェーンプロセスに関わる情報やシステムの完全性、機密性、可用性を損ない、国家安全保障、経済的安定、公共の安全に重大な脅威をもたらす可能性がある。

サイバーセキュリティの視点 

サイバーセキュリティの観点から、サプライチェーンリスクとは、サプライチェーンネットワークのセキュリティを損なう可能性のあるあらゆる潜在的脅威を指す。このような脅威は、サイバー攻撃、データ漏洩、マルウェア感染など様々な形で現れる可能性があり、サプライチェーン内のあらゆる弱点を標的とします。現代のサプライチェーンは相互につながっているため、1つの領域で侵害が発生すると、その影響が連鎖し、複数の事業体やプロセスに影響を及ぼす可能性があります。

政府機関にとってのサプライチェーン・サイバーセキュリティの重要性は、いくら強調してもしすぎることはない。国防から公衆衛生・安全に至るまで、政府機能の重要性を考えると、サプライチェーンのセキュリティを確保することが最も重要である。サプライチェーンの侵害は、政府の機密データの暴露、重要なサービスの中断、さらには国家安全保障の侵害につながる可能性がある。

さらに、政府機関は機密情報や機微情報を扱うことが多く、サイバー敵対者にとって魅力的な標的となっている。このような敵対者は、サプライチェーンの脆弱性を悪用して、政府のネットワークに不正アクセスし、機密情報を盗み、重要なサービスを妨害する可能性がある。したがって、サプライチェーン内のサイバーセキュリティ・リスクを特定、評価、軽減することは、国家安全保障を守り、政府業務の継続性を確保する上で極めて重要なステップである。

サプライチェーンにおけるサイバーセキュリティの脅威の現状

サプライチェーン攻撃の増加

近年、サプライチェーンへの攻撃が大幅に増加している。サイバー犯罪者は、単一の弱点から複数の組織に侵入する方法として、サプライチェーンを標的としている。個々の組織が直接サイバーセキュリティの防御を強化するにつれて、この方法はより魅力的なものとなり、攻撃者はより要塞化されていない侵入口を求めるようになっている。サプライチェーンは相互につながっているため、1つの領域で侵害が発生すると、ネットワークの一部である多数の事業体に影響を及ぼし、広範囲に波及する可能性がある。このようなサプライチェーン攻撃の増加は、個々の組織の枠を超えた包括的なセキュリティ対策の必要性を強調している。

サプライチェーン攻撃の種類

 サプライチェーン攻撃は、主にソフトウェア攻撃とハードウェア攻撃の2種類に分類できる。

• ソフトウェア・サプライチェーン攻撃： 悪意のあるコードがソフトウェア・アプリケーションに挿入され、侵害されたソフトウェアの全ユーザーにマルウェアが拡散することで発生します。攻撃者は、オープンソースのライブラリ、サードパーティのソフトウェア・コンポーネント、または開発プロセスそのものを標的として、悪意のあるコードを注入する可能性があります。
• ハードウェア・サプライチェーン攻撃： エンドユーザーに届く前に、物理的なハードウェア・コンポーネントを改ざんします。攻撃者は、ハードウェア・コンポーネントに脆弱性やバックドアを導入し、これを悪用して機密情報やシステムに不正アクセスする可能性があります。

ソフトウェア・サプライ・チェーンの脆弱性

ソフトウェアのサプライチェーンは、その複雑な性質のために特に脆弱である。現代のソフトウェアは、多くの場合、プロプライエタリなコード、オープンソースのコンポーネント、サードパーティのAPIのミックスに依存している。これらの各要素は、適切に管理され、保護されなければ、脆弱性をもたらす可能性がある。オープンソースコンポーネントの広範な使用は、開発効率には有益であるが、これらのコンポーネントが定期的に更新され、パッチが適用されなければ、重大なリスクをもたらす可能性がある。サードパーティ・ベンダーのセキュリティ対策が見えないことが、このリスクをさらに悪化させ、ソフトウエアのサプライチェーンの完全性を確保することを困難にしている。

サプライチェーン・インシデントの最新事例

• SolarWinds（2020年12月）： SolarWinds（2020年12月）：APT行為者がSolarWindsのOrionソフトウェアを侵害し、政府機関を含む約18,000の顧客に影響を与えた。この侵害により、ソーラーウインズは、サイバーセキュリティ態勢について投資家を欺いたとして、証券集団訴訟を提起され、2600万ドルで和解した。
  
• トヨタ自動車（2022年3月）： 主要サプライヤーであるコジマ工業へのサイバー攻撃により、トヨタは日本での生産を一時停止せざるを得なくなった。この事件は、サプライ・チェーンの脆弱性がいかに直接的な業務妨害につながるかを示している。
  
• GitHub Dependabot（2023年9月）： ハッカーがGitHubのパーソナル・アクセストークン（PAT）を盗み出し、Dependabotを介してリポジトリに不正な変更を加えました。この侵害は、ソフトウェア開発におけるサードパーティ・サービスに関連するリスクを浮き彫りにした。
  
• マイクロソフト（2023年9月）： マイクロソフトは2つのインシデントを経験し、サプライチェーンの脅威の多様性を浮き彫りにしました。SAS トークンが流出し、38TB を超える機密データが流出しました。さらに、非アクティブなAzure署名キーの悪用により、攻撃者は有効な電子メールアクセストークンを偽造することができました。これらの事象は、クラウドサービスにおける入念なアクセス制御と鍵管理の重要性を強調している。
• xz 圧縮ツールのバックドア (CVE-2024-3094)： xz圧縮ツールのバージョン5.6.0と5.6.1にはバックドアが含まれており、特にxz Utilsを利用しているLinuxディストリビューションのシステムに不正なリモートアクセスを許可する可能性があることが明らかになりました。この脆弱性は、オープンソースソフトウェアのサプライチェーンに常に存在するリスクを強調するものである。この事件は、ソフトウェアの保守と監視に細心の注意を払うことの重要性を思い起こさせるものである。

このような事件は、サプライチェーンのリスク管理を徹底する必要性を示しています。サプライチェーン・サイバーセキュリティの脅威の状況を理解することで、政府組織はこれらのリスクを軽減するための戦略をよりよく準備し、実施することができ、業務のセキュリティと回復力を確保することができる。

影響と意義 

サプライチェーン攻撃の影響は、サービスの停止やデータの盗難といった直接的なものにとどまらない。こうした事件は、政府機関に対する国民の信頼を損ない、国家安全保障を危うくし、多大な経済的損害を与える可能性がある。現代のサプライ・チェーンは複雑であるため、一つの侵害が複数の層を通じて伝播し、多数の組織や個人に影響を及ぼす可能性がある。このように相互に関連しているため、潜在的な影響を包括的に理解する必要がある： 

• 国家安全保障上の脅威： サプライチェーンの脆弱性は、政府の機密データを暴露し、国家安全保障業務や諜報活動を危険にさらす可能性がある。
• 経済的混乱： サプライチェーンの重要な構成要素に対する攻撃は、生産ラインを停止させ、市場を混乱させ、多額の経済的損失につながる可能性があります。
• 社会的信用の失墜： 個人情報の流出や公共サービスの混乱は、政府機関や市民の利益を守る能力に対する信頼を損ないます。
• 規制および法的影響： 情報漏えいは多くの場合、法的措置、罰金、規制当局の監視強化につながり、リソースを中核業務から逸脱させる。

第一部の結論 

第二部

NIST CSF 2.0とサプライチェーンリスクへのアプローチ 

NIST CSF 2.0の紹介

2024年2月に発表された米国標準技術局（NIST）のサイバーセキュリティ・フレームワーク（CSF）2.0は、サイバーセキュリティ・リスク管理の領域で大きな進化を遂げた。CSF 2.0は、前バージョンで確立された基本原則をベースに、急速に変化するデジタル環境に合わせた機能強化を導入しており、特にサプライチェーンリスクの複雑性への対応に重点を置いている。この更新されたフレームワークは、政府、産業界、学術界を含む様々なセクターにおいて、レジリエントでセキュアなサイバー環境を育成するという NIST のコミットメントの証となるものである。

CSF 2.0 の特筆すべき進歩は、GOVERN 機能の統合であり、サイバーセキュリティリスクの管理における戦略的ガバナンスの重要性が強調されている。この追加は、効果的なサイバーセキュリティが単なる技術的課題ではなく、経営陣の監督と組織目標との戦略的な整合性を必要とするガバナンスの問題でもあることを認識し、より全体的なアプローチへのシフトを反映している。

フレームワークの複雑さとアプリケーションをより深く理解したい方のために、当ブログではNIST CSF 2.0の解説記事を掲載しています。

フレームワークのコア・コンポーネント

NIST CSF 2.0 の中核は、組織のサイバーセキュリティ体制のハイレベルな戦略的ビューを提供する 6 つの主要機能を中心に構成されている。これらの機能は次のとおりである： 

• GOVERN: フレームワークに新たに追加された GOVERN 機能は、サイバーセキュリティリスク管理におけるガバナンスの重要性を強調する。これは、経営幹部との組織的なリスクコミュニケーションを支援し、サイバーセキュリティに対するトップダウンのアプローチを促進し、ガバナンスプロセスが組織目標およびリスク管理戦略と整合していることを保証する。

• 識別： この機能には、システム、資産、データ、能力に対するサイバーセキュリティリスクの管理に関する組織的な理解を深めることが含まれる。保護が必要なリソースと関連するリスクを特定することで、効果的なサイバーセキュリティプログラムの基盤を構築する。. 

• 保護：重要なサービスを確実に提供するための適切なセーフガードの導入に重点を置くプロテクト機能は、サイバーセキュリティ上の潜在的な事象の影響を制限または抑制することを目的としている。

• 検知： この機能は、サイバーセキュリティ・イベントの発生を適時に特定するための適切な活動の実施を中心とする。検出プロセスは、組織がセキュリティ・インシデントを示す可能性のある異常やイベントを発見するのに役立つ。

• 対応： サイバーセキュリティのイベントが検出されると、Respond（対応）機能は、検出されたイベントに対応して取るべきアクションの概要を示す。これには、インシデント発生後の対応計画、コミュニケーション、分析、緩和、改善などが含まれる。

• 復旧： 回復機能は、サイバーセキュリティ事象によって損なわれた能力やサービスの回復に重点を置く。影響を最小限に抑えるためにタイムリーな復旧を重視し、回復力と教訓を得るための計画を概説する。

これらの各機能は、さらにカテゴリーとサブカテゴリーに分けられ、詳細な成果と有益なリソースへの参照を提供し、サイバーセキュリティのリスクを管理するための包括的かつ柔軟なアプローチを提供する。

CSF 2.0 を採用することで、組織は共通の言語と体系的な手法を活用してサイバーセキュリティリスクを特定、評価、管理、削減することができ、相互接続が進む世界において重要インフラと機密データの保護を確保することができる。

SCRMのGOVERN機能の統合 

サプライチェーンリスクマネジメント（SCRM）にGOVERN機能を統合することは、サイバーセキュリティへの配慮を組織の戦略的ガバナンスプロセスに組み込む上で極めて重要である。GOVERN 機能の原則を活用することで、組織はサプライチェーンリスクを明確に認識し、ガバナンスの枠組みの中で対処することができる。これには以下が含まれる： 

• 戦略的整合： サプライチェーンのセキュリティ戦略が、組織の包括的なサイバーセキュリティ目標およびリスク管理のフレームワークと整合していることを確認する。. 
• エグゼクティブの監督 サプライチェーンリスクに関する意思決定において上級管理職を関与させ、調達、業務、ベンダー管理など、組織の全階層にわたってセキュリティとリスクを意識する文化を醸成する。. 
• ポリシーの統合 ベンダーのリスク評価、調達に関するセキュリティ要件、第三者ベンダーが関与するインシデント対応プロトコルを含む、サプライチェーンセキュリティを包含するポリシーの策定と実施. 

サプライチェーンセキュリティのためのCSF2.0の実施 

SCRMの組織プロファイルとTier 

CSF2.0をサプライチェーンのセキュリティに適用する場合、組織プロファイルは、サプライチェーン・リスクマネジメントの実践の現状と望ましい状態をマッピングするための不可欠なツールとなる。重点的なアプローチには、以下が含まれる： 

• サプライチェーンセキュリティプロファイルの作成 既存のサプライチェーンセキュリティ慣行を CSF に照らしてマッピングした「現在のプロファイル」を作成し、望ましい改善点と目標をまとめた「目標のプロファイル」を作成する。. 
• 成熟度評価に階層を活用する： サプライチェーンセキュリティの実践に特化して組織の現在の Tier を評価し、サプライチェーンリスクを管理するためのアプローチがより成熟し統合されていることを示す、より高い Tier に進むための目標を設定する。. 

サプライチェーンのリスク評価と軽減 

サプライチェーンセキュリティのための CSF2.0 を実施する上で極めて重要なことは、サプライチェー ンの状況に合わせた徹底的なリスク評価を実施し、効果的な緩和戦略を採用することである。これには以下が含まれる： 

• リスクの特定と分析：重要なサプライヤを特定し、サプライヤのサイバーセキュリティ態勢、潜在的脆弱性、サプライチェーンの侵害が組織に及ぼす影響を評価する。. 
• 緩和策： サプライヤの多様化、ベンダに対する最低セ キュリティ要件の設定、契約へのセ キュリティ条項の組み込みなどの緩和戦 略の実施. 
• 継続的なモニタリングと改善：継続的な評価、新たな脅威、及びサプライチェーンエコシステムの変化に基づいて、サプライチェーンセキュリティ対策を定期的に見直し、更新する。. 

GOVERN 機能の戦略的ガバナンス・アプローチを組織プロファイルと階層（Tier）の重点的な適用と統合することで、組織は CSF 2.0 の文脈の中でサプライチェーン・リスクを効果的に管理・軽減し、全体的なサイバーセキュリティ態勢を強化することができる. 

第2部の結論

デジタルに接続された現代の状況において、サプライチェーンリスクマネジメント（SCRM）の戦略的役割は極めて重要である。NIST CSF 2.0 のリリースは、サプライチェーンへの配慮をサイバーセキュリティフレームワークに直接組み込むことで、この重要性を強調している。このアプローチは、複雑でグローバルな供給ネットワークに絡む政府機関にとって有益であり、チェーンの脆弱性がサイバーセキュリティの脅威の導線となる可能性がある。

NIST CSF 2.0は、構造的でありながら柔軟なフレームワークを提供し、政府組織がサプライチェーンリスクを効果的に管理し、軽減することを可能にする。GOVERN機能が追加されたことで、SCRMが単なる技術的な取り組みではなく、組織の目的に沿ったトップダウンの戦略的優先事項であることを確実にする、ガバナンスを重視したフレームワークが強調されている。

このフレームワークは、NIST Special Publication 800-161 に関する今後の議論の舞台を整え、具体的な SCRM 戦略と実践を深掘りするために必要な基礎原則を提供する。NIST CSF 2.0とSP 800-161を合わせると、政府組織がサプライチェーンセキュリティの複雑な問題に対処するための包括的なツールキットとなり、国家安全保障、経済の安定、国民の信頼を強化することができる。

第三部：NIST Special Publication 800-161 サプライチェーンリスクマネジメントの実施に関するガイダンス 

SP 800-161の紹介 

概要と目的 

NIST Special Publication 800-161r1 は、効果的なサプライチェーンリスク管理（SCRM）を通じて政府組織のサイバーセキュリティ態勢を強化するための重要なリソースとして登場した。現代のデジタル・エコシステムの複雑さを念頭に設計された本書は、政府の業務やサービス提供に不可欠なサプライチェーンに浸透するリスクを特定、評価、緩和するための包括的な枠組みを提供する。政府機関が依存するサプライヤ、サービスプロバイダ、サードパーティパートナーの複雑な網の目、およびこの相互依存がもたらすサイバーセキュリティの潜在的脆弱性を認識している。SP 800-161r1 は、無数のサイバー脅威からサプライチェーンを保護し、重要なサービスと情報の完全性、可用性、および機密性を確保するために必要な知識、戦略、およびツールをこれらのエンティティに提供することを目的としています。

政府機関への関連性

SP 800-161r1 の政府機関への関連性は、いくら強調してもしすぎることはない。国家安全保障や公共の安全から医療やインフラに至るまで、政府サービスの重要性を考えると、そのサプライチェーンのセキュリティと回復力は最も重要である。政府機関は多くの場合、機密データや重要なインフラを扱っており、それが侵害されれば、国家の安全保障、経済の安定、国民の信頼に甚大な影響を及ぼしかねない。さらに、政府機関のサプライチェーンは複雑で、サプライヤーが何重にも存在し、製品やサービスも多岐にわたるため、サイバーセキュリティリスクの可能性がさらに高まっています。. 

SP 800-161r1 は、政府機関特有の運用、規制、およびリスク環境に合わせたガイダンスを提供することで、これらの課題に対処している。SP 800-161r1 は、SCRM に対するプロアクティブで包括的なアプローチの必要性を強調しており、これは現在の脅威に対応するだけでなく、将来の脆弱性を予測し、それに備えるものである。SP 800-161r1に概説されているプラクティスとコントロールを遵守することで、政府機関は防御を強化し、サプライチェーンが弱点としてではなく、デジタル時代のセキュリティと信頼性の砦として機能することを確実にすることができる。 

範囲と目的 

SP 800-161の適用範囲は包括的であり、サプライチェーン内のリスクの管理と軽減に関わる活動全体をカバーしている。これは、サプライチェーンの脆弱性を効果的に特定、評価、対処するために必要な知識とツールを政府機関に提供することを目的としている。SP 800-161の目的は、より広範な組織のリスク管理手法と整合するサイバーセキュリティ・サプライチェーン・リスク管理（C-SCRM）の構造化されたアプローチを提供し、サプライチェーンリスクが組織の目標やリスク選好度に照らして一貫して特定、評価、管理、伝達されるようにすることである。. 

政府SCRMのためのSP 800-161の中核的要素 

• C-SCRMのビジネスケース： サイバーセキュリティリスクからサプライチェーンを保護し、オペレーションの回復力を高め、国家安全保障を守る上で、C-SCRMの重要性を強調する。
  
• サプライチェーンを通じたサイバーセキュリティリスク：サプライヤへの直接的な脅威からサプライチェーンプロセス内の脆弱性に至るまで、サプライチェーンに影響を与え得る多面的なサイバーセキュリティリスクを特定する。
• マルチレベルのリスク管理： C-SCRMが戦略的なものから業務的なものまで、組織のあらゆるレベルに組み込まれるよう、リスク管理に対するマルチレベルのアプローチを提唱する。 
  

重要な成功要因 

• 調達におけるC-SCRM： 調達活動におけるC-SCRM：調達プロセスにおけるC-SCRMの役割を強調し、調達活動においてサプライチェーンリスクが考慮され、軽減されることを確実にする。
• サプライチェーン情報の共有 サプライチェーンリスク及びベストプラクティスに関連する情報を組織内及びパートナーと共有することの重要性を強調。
• C-SCRMトレーニングと意識向上 すべてのステークホルダーがC-SCRM における自らの役割を理解するよう、継続的な研修と意識向上プログラムの必要性を強調。
• C-SCRMの主要な実践： 組織内でC-SCRMを実施し、成熟させ るための基礎的な実践、持続的な実践、 強化的な実践について概説する。

C-SCRM コントロールとは

サイバーセキュリティの脅威からサプライチェーンを保護するために設計された包括的なコントロールのセット。これらのコントロールは、アクセスコントロール、インシデントレスポンス、リスクアセスメントなど、さまざまなファミリーにまたがり、サプライチェーンを保護するための構造的なアプローチを提供する。

• クラウドサービスプロバイダーのためのガイダンス： クラウド環境におけるサプライチェーンリスクを管理するための具体的な検討事項を提供し、クラウドサービスが政府の基準に沿って安全であることを保証する。

• 対象者プロファイルと文書使用ガイダンス： 企業リスク管理者から買収担当者まで、組織内の様々な役割に合わせたガイダンスであり、すべての利害関係者がC-SCRMに貢献できることを保証する。

• 専用リソース： C-SCRMに専任のリソースを割り当てる必要性を強調し、組織がサプライチェーンのリスクを効果的に管理できるようにする。

これらの要素は、NIST SP 800-161r1の包括的な性質を強調するものであり、政府組織がサプライチェーンにおけるサイバーセキュリティリスクを管理・軽減するための強固な枠組みを提供するものである。 

政府機関におけるSP 800-161の実施 

政府機関のための個別指導 

NIST SP 800-161r1は、政府組織内の多様な役割と責任に対応するよう独自に設計されており、様々な利害関係者がサプライチェーンセキュリティの強化に積極的に参加できるよう、カスタマイズされたガイダンスを提供しています。この文書は、調達担当者やIT管理者から上級幹部やリスク管理専門家に至るまで、様々な役割に対する具体的な責任とベストプラクティスを定義しています。役割に特化したガイダンスを提供することにより、SP800-161は、サプライチェーンリスクマネジメント（SCRM）の取り組みに効果的に貢献するために必要な知識やツールを、組織のあらゆる階層が関与し、備えていることを保証します。このアプローチは、各関係者が潜在的なサイバー脅威からサプライチェーンを保護する上での自らの役割を理解することで、SCRMのための包括的かつ統一的な戦略を育成します。 

クラウドサービスとサプライチェーンのリスク 

SP 800-161r1には、政府業務においてクラウドサービスへの依存が高まっていることを認識し、クラウドサービスプロバイダ（CSP）に関連する固有のリスクを管理するための専用ガイダンスが含まれている。これは、クラウドベースのサプライチェーンを保護するための複雑な作業を行う政府組織にとって特に重要である。本書は、CSP の徹底的なリスク評価の実施、サービス・レベル契約における明確なセキュリティ要件の設定、および CSP がセキュリティ標準に準拠していることを確認するための継続的なモニタリングの実施に関する戦略を提示している。このガイダンスは、政府機関がクラウド・サービスを通じてもたらされる潜在的な脆弱性を軽減し、クラウド・ソリューションの採用がサプライ・チェーンのセキュリティを損なうことのないよう支援するものである。. 

SCRMのための資源配分 

政府組織においてSP800-161を効果的に実施するための重要な側面は、SCRMイニシアチブに専用のリソースを割り当てることである。サプライチェーンリスクの広範な範囲及び潜在的な影響を認識し、SP800-161は、SCRM活動を支援するための十分な資金、人員及び技術的資源の必要性を強調している。これには、リスク評価及びモニタリングのためのツール及び技術への投資、並びにSCRMを専門とする人材の採用及び訓練が含まれる。専用のリソースを割り当てることで、政府組織が包括的なサプライチェーン・リスク評価を実施し、強固なセキュリティ管理を実施し、新たな脅威に対する継続的な警戒を維持できるようになる。これは、国家安全保障と公共サービスの継続性の維持におけるSCRMの重要な役割を反映し、サプライチェーンの安全保護に対する組織のコミットメントを強調するものである。

ケーススタディと政府の成功事例 

実際の導入例 

NIST SP 800-161 のガイドラインを完全に詳細に実施している政府組織の具体的なケーススタディーは、セキュリ ティ及び機密保持上の理由から公開されない可能性がありますが、フレームワークのベストプラクティスに基 づいた仮想的なシナリオを議論することは可能です。これらの事例は、SP800-161 の原則とガイドラインがどのように実際に適用され、政府の文脈におけるサプライチェーンセキュリティの強化につながるかを説明することを目的としています。. 

ケーススタディ1：連邦政府保健機関 

ある連邦医療機関は、医療機器と医療 IT システムのサプライチェーンを保護するために SP 800-161 ガイドラインを統合した。必要不可欠な医療サービスを提供する上で、これらの機器が極めて重要であることを認識した同機関は、サプライヤの徹底的なリスク評価を実施し、サイバーセキュリティの実践と脆弱性管理プロセスに焦点を当てました。SP 800-161の管理を実施することで、強固なセキュリティ対策を実証したサプライヤーとのより強固なパートナーシップが確立され、サプライチェーンが危険にさらされるリスクが大幅に軽減されました。

成果：医療機器と医療ITシステムのセキュリティの向上、患者データ保護の強化、サイバーセキュリティインシデントによるダウンタイムの削減。

教訓：サプライヤーのサイバーセキュリティ慣行についてデューデリジェンスを実施することの重要性と、調達契約に明確なセキュリティ要件を設けることの価値。

ケーススタディ2：地方自治体のIT部門 


ある地方自治体のIT部門は、SP 800-161ガイドラインを適用して、クラウドサービスプロバイダーに関連するサプライチェーンリスクを管理した。同局は、潜在的な CSP のセキュリティ体制を評価するための包括的な評価フレームワークを確立し、クラウド導入戦略にセキュリティの考慮事項を統合した。

その結果 クラウドサービスへの安全な移行、クラウドにおけるデータ保護の強化、セキュリティに関する CSP との協力関係の強化。

教訓 CSP に対してセキュリティに関する期待と要件を明確に伝えることが不可欠であり、また、進化し続けるクラウドセキュリティの課題に対処するための継続的な評価と協力が必要である。

これらの仮想ケーススタディは、政府組織におけるサプライチェーンセキュリティの強化における SP 800-161 の実際的な適用可能性と利点を強調するものである。  

課題と今後の方向性 

実装の課題を克服する 

政府組織におけるNIST SP 800-161の導入には、課題がないわけではない。以下のようなものがあります： :

• 複雑さと規模： 政府機関のサプライチェーンには多数の事業体が関与していることが多く、リスクの評価と管理は複雑な作業となる。これに対処するため、組織はリスクに優先順位をつけ、まず最も重要なサプライヤーに焦点を当て、徐々にSCRMの実践を拡大することができる。
• リソースの制約： 限られた予算と人員は、SCRM戦略の徹底的な実行を妨げる可能性がある。自動リスク評価ツールなどのテクノロジーを活用し、情報共有のためのパートナーシップを促進することで、リソースの活用を最適化することができる。
• 変化への抵抗： 新しいプロセスや要件の導入は、組織内やサプライヤーからの抵抗に直面する可能性がある。SCRMのための強力なビジネスケースを構築し、プロセスの早い段階で利害関係者を巻き込むことで、抵抗を緩和することができる。
• 規制の遵守： 政府調達やサイバーセキュリティに影響する無数の規制をナビゲートするのは大変なことです。継続的なトレーニングと法律相談により、サプライチェーンのリスクを効果的に管理しながらコンプライアンスを確保することができます。

進化するSCRMの実践 

サプライチェーンリスクマネジメントの状況は、サイバー脅威、技術の進歩、グローバルなサプライチェーンのダイナミクスの変化により、絶えず進化しています。今後の展望: 

• 新たなテクノロジーへの適応： AI、IoT、ブロックチェーンのような新技術が政府の業務に統合されるにつれ、SCRMの実践は、これらの技術がサプライチェーンにもたらす特有のリスクに対処するために適応する必要がある。
• コラボレーションの強化： SCRMの将来は、政府機関内だけでなく、民間セクターのパートナー、国際的な同盟国、業界団体などとの協力関係の強化にある。脅威インテリジェンス、ベストプラクティス、セキュリティ・イノベーションの共有は極めて重要である。. 
• 回復力の重視： 今後の SCRM の取り組みは、リスクの予防と軽減にとどまらず、レジリエンス（弾力性）の構築にますます重点を置くようになり、サプライチェーンに障害が発生した場合でも、政府の業務が迅速に回復し、機能を維持できるようにする。. 
• 規制の進化： デジタル環境が変化するにつれ、規制環境も変化する。政府機関は、サプライチェーンのセキュリティを強化するために設計された新しい法律やガイドラインに準拠するために、SCRMの実践を適応させながら、機敏に対応する必要がある。. 

NIST SP 800-161は、SCRMに対する包括的なアプローチにより、政府機関が現在の課題に対処し、将来の変化に適応するための強固な基盤を提供する。定期的な更新により、ガイダンスは常に適切なものとなり、政府機関が進化するSCRMの状況をナビゲートし、新たな脅威から重要なサプライチェーンを保護するのに役立ちます。

第3部の結論 

政府業務における強固なサプライチェーン・リスクマネジメント（SCRM）の必要性は、いくら強調してもし過ぎることはない。デジタルの相互接続が顕著な時代において、サプライチェーンの回復力は、国家の安全保障、経済の安定、そして国民の信頼の基盤に直接影響を与える。重要なインフラや機密データを預かる政府機関は、複雑なサプライヤーやパートナーの網の目をかいくぐるという課題に直面している。効果的なSCRMは、単に戦術的な必要性ではなく、戦略的な必須事項であり、進化するサイバー脅威を背景に、公共サービスと国防のライフラインが安全であり続けることを保証する。

NIST Special Publication 800-161r1 は、サプライチェーンセキュリティの複雑な問題を通して政府機関を導く包括的なフレームワークを提供し、この努力の道標となっています。その実用的なガイダンスは、政府組織が直面する固有のニーズと課題に合わせたもので、サプライチェーン内のリスクを特定、評価、緩和するために必要なツールと洞察を提供する。SP 800-161r1は、サイバーセキュリティの専門家の英知を結集し、政府のサプライチェーンの完全性を守るために不可欠なベストプラクティスと管理策をまとめたものです。

将来に向けて、SP800-161r1で概説された原則と戦略は、サプライチェーンセキュリティの強化に努める政府組織にとって、引き続き基礎的な要素として機能する。そうすることで、これらの原則や戦略は自組織の直接的な利益を守るだけでなく、安全で弾力性があり、信頼できるデジタル・エコシステムを育成するという、より広範な目標にも貢献することになります。

その他のリソース 

SCRMをより深く追求するために、NISTはサプライチェーンセキュリティの様々な側面に合わせた一連のリソースを提供している： 

• Cybersecurity Supply Chain Risk Management Program: このプログラムは、サプライチェーン内のサイバーセキュリティ・リスクを管理するための豊富なリソースとベストプラクティスを提供する。
• Software Supply Chain Security Guidance: 大統領令14028を受けて、NISTは、今日のデジタルインフラにおける重要な構成要素であるソフトウェアサプライチェーンの安全確保に関する具体的なガイダンスを提供している。

さらに、NISTのいくつかの主要な出版物は、サプライチェーン・リスクマネジメントに関するさらなる洞察を提供している： 

• NIST SP 800-53, Revision 5: 本書は、サプライチェーン・リスクマネジメントに関連するものを含め、セキュリティとプライバシーの包括的な管理策を提示し、連邦政府の情報システムと組織に貴重なリソースを提供する。 
• NIST Interagency Report (NISTIR) 8276: 本レポートは、サイバー・サプライチェーン・リスク管理のための主要な実践と技法を、業界の観察と実践から導き出し、実践的な洞察を提供するものである。. 
• NIST SP 800-39: 本書は、組織の観点から情報セキュリティリスクを管理することに焦点を当て、サプライチェーンの構成要素を含む情報システムのライフサイクルのあらゆる側面でリスクに対処することの重要性を強調している。 

これらのリソースは、政府機関がサプライチェーン・リスク管理の複雑な状況を乗り切るために必要な知識とツールを提供し、公共の利益のために安全で回復力のあるデジタル環境を育成します。