特定非営利活動法人 日本セキュリティ監査協会(以下、JASA)は10月6日、IT業界におけるサプライチェーンの情報セキュリティ管理モデルの案を発表した。
|
|
JASA 事務局長の永宮直史氏 |
同管理モデルは、JASAが経済産業省の支援を受けて、通信業界やIT業界の大手企業20社とともに策定したもの。今年8月からワークショップを実施し、その結果をとりまとめるかたちで立案されている。
今回の情報セキュリティ管理モデルが適用対象としているのは、委託先、再委託先、再々委託先と、委託の連鎖が幾重にも続く大規模サプライチェーン。こうしたサプライチェーンにおいては、「契約内容が伝言ゲームのように変質してしまう可能性が高く、委託元が最後まで情報管理を徹底させるのは難しい」(JASA 事務局長の永宮直史氏)と言い、大事故を未然に防ぐことを目的として新管理モデルが定義されている。
|
|
下請け連鎖の先に進むほど、影響力は弱くなっていく |
提案された管理モデルの主な特徴は以下のとおり。
- 委託元、委託先、再委託など、サプライチェーンの参加者が最低限行うべき管理策の数を絞り込み、誰もが実施できるレベルで具体化を図る
- 共通の様式と標準化された業務フローによる、委託元、委託先、再委託先、再再委託先等が情報セキュリティ管理の負担をあまり意識しないでできる仕組みをつくる
- 自己点検/内部監査/外部監査を組み合わせたチェックの仕組みにより、管理水準の統一化を図っていく
1つ目の項目については、各種の管理策に対して5段階の優先順位を付けたうえで、管理策の内容を具体的に決めることが勧められている。管理策の具体化については、「例えば、"パスワードは強固なものを採用すること"といった抽象的なレベルではなく、"○桁以上で英数字を混在させる"など、何をすればよいかを具体的に明記する」(JASA 事務局長の永宮直史氏)といった内容になっているという。
また、2つ目の項目では、複数のサプライチェーンに加わっている企業が煩わしい思いをしないよう、標準的なモデルを作り、企業ごとに異なる管理モデルが乱立するのを防ごうというもの。3つ目の項目は、管理策が実施されていることを確認するプロセスを盛り込み、その結果を各レベルの委託元に対してフィードバックする体系にして、サプライチェーン全体にチェック機能を組み込もうという取り組みになる。
|
|
サプライチェーン向け情報セキュリティ管理モデルの全体像 |
|
|
永宮氏は「各企業の合意の下、標準モデルを作ることが大切である」と説明した |
JASAでは今後、提案されたモデルを実施するための課題を整理し、今年末までに業界標準の案を取りまとめる予定。来年度内の実運用開始を目標としており、将来的にはISOなどの標準化団体に対する提案も行う考え。
Amazonプライム会員を狙うフィッシングメールが急増、注意を
