●トピック
●深く知る
サプライチェーンマネジメントとは、原材料調達から生産加工や在庫管理、流通や販売、各プロセスに携わる物流など、商品の開発から消費者の手に渡るまでの一連の流れを管理することです。サプライチェーンマネジメントの目標は、最終的な完成品が十分な品質を保っている事です。リスクベースのマネジメントの概念をサプライチェーンに適用することで、あらゆる規模の組織がより強固なセキュリティ戦略を確保することができます。サプライチェーンというと、在庫管理のイメージが強いですが、情報システム構築のリスクの観点からすると、もう少し面倒な事態になっています。ほとんどのコンピューター、デバイス、ネットワーク、クラウドサービスも単一の事業者によって開発されているわけではありません。様々なベンダーが開発に携わっていますし、それぞれの組織のポリシーも文化も違います。そのため、どのシステム的な要素についても偽装され、不完全なものが入り込む余地があります。商品の一部に不具合が残っているというようなことは非常に気付きにくく、一度組まれたサプライチェーンを変更するのは膨大な交渉とお金がかかりますから、攻撃されていても即時の対処が困難なんですね。
組織によっては、このように改造された機器が生産プロセスに入らないように、すべての機器を検査するかもしれませんが、小型化が進むにしたがって、求められる物理的な検査能力も上げていかなければなりませんし、正直な話機器のメインボードに追加されたチップは小さすぎて検査してらんないんですね。また、ハードウェアではなく、ファームウェアやソフトウェアも改造されている可能性もあります。そのため、検査よりも信頼できる評判の良いベンダーから製品を調達したり、国内で製造しているベンダーに絞り重厚な信頼関係の中でこのようなことが起きないようにしようとする場合もあります。これらは契約で守られていたり、瑕疵担保責任が受けられていることを前提に進めなければなりません。