サプライチェーンマネジメントの目標は、最終的な完成品の十分な品質を保つことです。そして、リスクベースのマネジメントの概念をサプライチェーンに適用することで、あらゆる規模の組織がより強固なセキュリティ戦略を確保することができます。
サプライチェーンというと、各部品をどこから調達し、どのタイミングに何個あるのかを最適化することで生産効率を上げていく在庫管理のイメージが強いですが、情報システム構築のリスクの観点からすると、もう少し面倒な事態になっています。ほとんどのコンピューター、デバイス、ネットワーク、クラウドサービスも単一の事業者によって開発されているわけではありません。様々なベンダーが開発に携わっている上、それぞれの組織のポリシーも文化も、場合によっては国も異なります。そのため、どのシステム要素についても偽装され、不完全なものが入り込む余地があります。商品の一部に不具合が残っていることは非常に気付きにくく、一度組まれたサプライチェーンを変更するのは膨大な交渉とお金がかかりますから、攻撃されていても即時の対処が困難なんですね。
2021年12月にApache Log4j(アパッチログフォージェイ)というソフトウェアに、任意のコードをリモートで実行できる脆弱性が発見されたというニュースがありました。Log4jはログを入出力するためのソフトウェアで、Javaベースのソフトウェア開発では割と使われます。このような脆弱性が通達されたとき、システムに搭載されているJavaベースのアプリケーションの開発元に、「Log4jを使っているのか?Log4jを使っているとしたら今回の脆弱性によって何か攻撃が仕掛けられる状態であるか?」ということが聞かれるでしょう。もしも、サプライチェーンが不透明で、自分たちのシステムのアプリケーションの部品がわからない時には、対応が遅れます。
便利を求め機能の積み重ねれば脆弱性を招く
また、システムの部品というのはソフトウェアだけではなく、ハードウェアもあります。組織によっては改造された機器が生産プロセスに入らないように、すべての機器を検査するかもしれません。しかし、小型化が進むにしたがって、求められる物理的な検査能力も上げていかなければなりませんし、正直な話機器のメインボードに追加されたチップは小さすぎて部品票のすべてを検査することは難しいでしょう。そのため、最低セキュリティ要件は確認しながら、検査よりも信頼できる評判の良いベンダーから製品を調達したり、国内で製造しているベンダーに絞り重厚な信頼関係の中でこのようなことが起きないようにしようとする場合もあります。これらは契約で守られていたり、瑕疵担保責任が受けられていることを前提に進めなければなりません。