●トピック
・サプライチェーンマネジメント
・サービス品質保証(SLA)
●深く知る
サプライチェーンマネジメントとは、原材料調達から生産加工や在庫管理、流通や販売、各プロセスに携わる物流など、商品の開発から消費者の手に渡るまでの一連の流れを管理することです。サプライチェーンマネジメントの目標は、最終的な完成品が十分な品質を保っている事です。リスクベースのマネジメントの概念をサプライチェーンに適用することで、あらゆる規模の組織がより強固なセキュリティ戦略を確保することができます。サプライチェーンというと、在庫管理のイメージが強いですが、情報システム構築のリスクの観点からすると、もう少し面倒な事態になっています。ほとんどのコンピューター、デバイス、ネットワーク、クラウドサービスも単一の事業者によって開発されているわけではありません。様々なベンダーが開発に携わっていますし、それぞれの組織のポリシーも文化も違います。そのため、どのシステム的な要素についても偽装され、不完全なものが入り込む余地があります。商品の一部に不具合が残っているというようなことは非常に気付きにくく、一度組まれたサプライチェーンを変更するのは膨大な交渉とお金がかかりますから、攻撃されていても即時の対処が困難なんですね。
組織によっては、このように改造された機器が生産プロセスに入らないように、すべての機器を検査するかもしれませんが、小型化が進むにしたがって、求められる物理的な検査能力も上げていかなければなりませんし、正直な話機器のメインボードに追加されたチップは小さすぎて検査してらんないんですね。また、ハードウェアではなく、ファームウェアやソフトウェアも改造されている可能性もあります。そのため、検査よりも信頼できる評判の良いベンダーから製品を調達したり、国内で製造しているベンダーに絞り重厚な信頼関係の中でこのようなことが起きないようにしようとする場合もあります。これらは契約で守られていたり、瑕疵担保責任が受けられていることを前提に進めなければなりません。
責任を書面で縛るという意味では、サービスレベル合意書も重要です。会社の業務を他の会社に依頼するときや個人に依頼するときには、業務に関する契約を結びます。これは「どのぐらいのお金払いますよ」という以前に、どのような状態になったら終わりで金額を請求できるのか、業務を遂行するにあたっての条件を明記したものになります。業務を依頼する組織と業務を依頼される組織との間で、期待感やスケジュールや予算、セキュリティの考え方が違うためです。「他の企業でやったものと同等レベルのものを持っていっても受け取っても貰えない」とか、「性能はかなりでますよ」と言われていたのに使ってみたら自分の組織の性能目標を満たせなかったりするのはよく聞く話です。
そのような認識齟齬を最小化するためにサービスレベルを開示しておく事が大事になってきます。サービスを提供する側はサービスレベルを規定し、自身のサービスや製品はこのぐらいのパフォーマンスや耐障害性、またはそのサービスレベルが満たされなかった場合の経済的な救済方法を提示します。このようなサービスレベル合意書を使用することで、サービスを提供する組織が顧客にとって適切なサービスレベルを維持できることを保証できますし、顧客も自分らの顧客に対して提示されたサービスレベルを前提に話を進めることができます。データの回線、アプリケーション、データベースなど、継続して利用するサービスに関しては、サービスレベルを提示しておくことが賢明です。
また、他のベンダーの製品を自社の基幹システムに利用する場合には、そのサービスレベルは重要な懸念事項になってきます。そのサービス事態が止まった場合、業務も止まるわけですから、基幹システムサービスが提示しているサービスレベルの補償金以上に悪影響を受けるかもしれません。「どれぐらい性能出るのか」、「拡張するインターフェースは用意されているのか」、「技術的な質問や休日のサポートは受けられるのか」という質問とともに、障害があった時の対応などセキュリティ面のサービスレベルも確認しておくと良いでしょう。