INFORMATION 6-10_App.01 ICTサプライチェーンとは

1. ICTサプライチェーン

1.1 サプライチェーンと類型

• サプライチェーンは、製品やサービスを活用するために調達する調達側（以下アクアイア）とこれらの製品、サービスを供給する供給側（以下サプライア）の関係を表したものです
• 現在ではグローバルバリューチェーンと呼ばれる世界規模での分業体制が多くの分野で見られます。この分業体制により、様々な製品が安く生産できるというメリットがありますが、一方で、様々な地域の多くの企業が生産等に関与することから、サプライチェーンは新たなリスク発生の要因ともなり得ます。 また、大企業から中小企業まで、サプライチェーンの弱点を狙ったサイバー攻撃が顕在化・高度化しサプライチェーン全体のサイバーセキュリティ対策が急務になっており 日々高度化するサイバー攻撃への継続的な対応が肝要になっています

＜サプライチェーンの類型＞

• サプライチェーンによって供給されるものは、大きく製品（ハードウエア、ソフトウエ ア等）と サービスに分けられます。サプライチェーンはサプライアが製品やサービスを供給するのみでなく、様々な調達側アクアイアの要求に対応した製品やサービス供給を行なうことが求められています。
• ICTサプライチェーン（情報通信技術を利用するICT製品・サービス） およびクラウドサービスをサプライチェーン類型として取り扱います。

1.2 サプライチェーンリスク

• ICTの製品やサービスを製造・流通する過程における不正なプログラムやファームウェアの組み込み、改ざんなどを挙げられています。ICTサプライチェーン全体に、製品とサービスの個々のサプライアとの関係に関連するセキュリティリスクを保有しながら、サプライチェーン全体でセキュリティリスクを一元管理することは困難です。

1.3 クラウドサービスのリスク

• アクアイアがクラウドサービスサプライアを利用する場合、さまざま機密情報やPII（Personally Identifiable Information）を多段的及び地理的なサプライアの環境におくことから、セキュリティリスクが発生します。

1.4 ICTサプライチェーンに対するセキュリティマネジメント

• 企業ではICT製品、サービスの利活用がその業務を遂行するために不可欠です。組織、事業活動に不可欠なほとんど全ての情報がICTシステムにより蓄積、処理されています。その結果ICTサプライチェーンへの脅威が益々拡大しています。製品やサービスのセキュリティマネージメントの実施については、そのライフサイクルのプロセス全体を通じた企業間の取引関係におけるセキュリティマネージメント実施と相互のサプライチェーンセキュリティ情報の共有及びモニターが重要になります。