このブログをお読みになっている方であればすでにご存じかもしれませんが、サプライチェーンのセキュリティにかかる脅威は年々増加しています。業務遂行に必要なソフトウェアやハードウェアを自組織のみで調達・運用することが難しいだけではなく、ビジネスやサービスの観点で組織同士が綿密につながるようになり、サプライチェーンで起きたセキュリティインシデントが自組織に影響を及ぼすことが多くなってきたためです。
IPAが発表した「情報セキュリティ10大脅威 2024(以下、10大脅威)」[1] の組織編では、「サプライチェーンの弱点を悪用した攻撃」が2位と、順位の非常に高い脅威として位置付けられています。また、図1が示すように、初登場した6年前からは4位、4位、4位、3位、2位、2位と推移しており、近年、脅威の度合いがますます高くなっていると言えます。
この対策について、10大脅威では「(調達先や業務委託先等の)情報管理規則の徹底」などの具体的な記載がありますが、そのためには、まずサプライチェーンにかかるリスクの特定を行うことが肝要です。IPAが活用を推奨している、経済産業省の「サイバーセキュリティ経営ガイドライン Ver3.0」[2]でも、「環境リスク(自然災害やパンデミック等)、地政学リスク(テロや政治的な不安等)及び経済リスク(経済危機や原料の価格変動等)の影響を考慮」などの、まさにリスクの特定にかかる方策が記載されています。
図1: IPA 情報セキュリティ10大脅威(組織編)における、サプライチェーンセキュリティにかかる項目の推移
一方で、サプライチェーンセキュリティのリスク特定は決して容易なものではありません。上記資料は具体性に乏しく、また調査項目は組織が利用するソフトウェアやSaaSなどのサービス、PCなどのハードウェア、さらには業務委託先など、サプライチェーンの構成は組織の規模が大きくなればなるほど複雑になります。また、それらが抱えるサプライチェーンセキュリティのリスクを体系的に整理し、分析するには広い視野と高い専門性が必要になるため、苦慮されている組織も多いのではないでしょうか。
本記事では、そうした悩みの解決策の一つとなりえるサプライチェーンセキュリティのリスク分析に利用可能なフレームワーク、MITRE System of Trustの概要とメリット、活用事例について紹介します。
MITRE System of Trustの概要
MITRE System of Trustとは、別の記事「MITRE ATT&CKとは?机上評価のメリットと活用方法|フレームワークで防御の穴を可視化」で紹介したMITRE ATT&CK(マイター アタック)で知られるMITRE社による、サプライチェーンセキュリティにかかるリスクの特定に利用可能なフレームワークです。
同社はこれをリスクモデルマネジャーとして2022年6月6日にWebサイト上で公開しており、当ブログ執筆時点では申請により誰でも無料で利用することができます。利用者は同サイトからフレームワークを参照したり、CSV形式などでエクスポートしたりすることができます。
MITRE社に直接取材したところ、リスクモデルマネジャーの利用開始日である2023年5月7日からの約半年で、すでに37か国の300の異なる組織から370人以上の個人に対してアカウントが払い出されており、業界を問わず利用できるという特徴を備え持つSystem of Trustへの関心の高さが伺えます。
System of Trustはサプライチェーンセキュリティのリスクを、「サプライヤ」とサプライヤによる「供給品(製品)」、「サービス」の3つに大別し、それらを1階層目とした最大7階層で掘り下げた200以上のリスク分類で評価するフレームワークです。
どの分類に該当するかを判定する調査方法や、各リスクの重み付け(点数)も併記されており、それらを利用することでリスクを定量的に評価することができます。
図2:System of Trustによるサプライチェーンリスクの分類(最大7階層のうち、1から3階層を表現)
※https://sot.mitre.org/framework/body_of_knowledge.html をもとにNRIセキュアにて作成
MITRE System of Trustを利用するメリット
System of Trustの特に優れている点として、サプライチェーンセキュリティのリスクについての高い網羅性と、リスクに紐づけられた点数による定量的な評価が可能な点が挙げられます。
1.サプライチェーンセキュリティのリスクについての高い網羅性
System of Trustは下記のような信頼性の高い情報源を基に、サプライチェーンセキュリティのリスクを200以上の「リスクの分類」として整理しています。
- SCS 9001サプライチェーンセキュリティ標準
- IEC 62443制御システムセキュリティ
- ISO/IEC 20243 O-TTPS
System of Trustが想定するリスクの領域は、自然災害や悪意をもった組織/個人からの攻撃だけでなく、組織の腐敗や国家的な取組まで多岐にわたります。また、利用する業界を限定しておらず、幅広い組織で利用可能になっています。この網羅性が、サプライチェーンセキュリティで評価すべきリスク事象の一覧作成時の参照先としても優れている点と言えます。
2.リスクの点数による定量的な評価が可能
上述の「リスクの分類」に対し、600項目以上ある「リスクとなりうる要因」が紐付けられており、さらに「リスクの調査事項」で当該要因の該非判定を行うことができます。リスクの調査事項には重み付け(点数)があり、点数は極性(正:調査事項に該当するとリスクが増加、負:同リスクが軽減)と、絶対値(0(影響なし))から100(影響が最大)。ただし、100の一部とnullはMITREにて点数を未評価)が設定されています。これにより、サプライチェーンセキュリティのリスクが著しく大きくなりうる+100の「リスクの調査事項」から優先的に評価を進めるといったアプローチも可能です。
表1:リスクモデルマネジャーの構成要素
表2:「リスクの調査事項」とリスクの点数の例
MITRE System of Trustの活用事例
MITRE System of Trustは具体的なリスクシナリオには基づいておらず、リスク分析による網羅的な現状の把握に活用できます。特に、TIA(Telecommunications Industry Association)やIEC(International Electrotechnical Commission)、ISO(International Organization for Standardization)などの公的な機関や企業団体が作成したガイドライン等に基づくリスク分析を行いたい組織には最適なフレームワークと言えます。
弊社にてサプライチェーンセキュリティに関する対策を推進するためのロードマップ策定をご支援した案件では、以下のプロセスにおいてSystem of Trustを活用しました。
表3:サプライチェーンセキュリティの対策におけるSystem of Trustが利用可能なプロセス
具体的には、サプライチェーンセキュリティのリスクの洗い出しにおいて「リスクの分類」を活用したり、対策の優先順位を評価したりすることで、リスクごとの対策とその費用対効果、対応期間や関連部門などの整理、ロードマップへの落とし込みを行うことができ、その網羅性と定量評価ができる点が大いに役立ちました。
まとめ
以上、MITRE System of Trustの概要をご紹介しました。MITRE System of Trustはサプライチェーンセキュリティにおけるリスク評価に用いることができる強力なフレームワークです。サプライチェーンセキュリティにかかる脅威の高まりや政府などによる対策の要請などをうけて、適切に投資・対策を行う際に、ぜひご活用ください。
System of Trustによるサプライチェーンセキュリティのリスク分析をご検討の際や、サプライチェーンセキュリティについてそもそも何をどこから対応すれば良いか分からない等のお悩みに直面されているのであれば、ぜひ一度弊社にご相談ください。弊社では、セキュリティコンサルティングの豊富な提供により、セキュリティリスクの現状把握やリスクの可視化、そしてそれを踏まえた対策のロードマップの策定まで一貫してご支援しております。
コンサルティングサービスに興味がある方は下記リンクからお問い合わせください。
[1] https://www.ipa.go.jp/security/10threats/10threats2024.html
[2] https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
