SP 800-161とは
NIST SP 800-161 Rev.1「Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations」(2022年公開)は、サプライチェーン全体のサイバーセキュリティリスクを管理するためのフレームワーク(C-SCRM)を定義した文書です。SolarWinds事件やLog4j脆弱性のように、サプライチェーンを経由した攻撃が急増していることを受け、Rev.1で大幅に内容が強化されました。
サプライチェーンの脅威
| 脅威 | 概要 | 実例 |
|---|---|---|
| ソフトウェアサプライチェーン攻撃 | 正規のソフトウェアやアップデートにマルウェアを混入 | SolarWinds Orion(2020年) |
| OSS脆弱性 | 広く使われるOSSライブラリの脆弱性 | Log4Shell(2021年) |
| 委託先からの漏洩 | 業務委託先がサイバー攻撃を受け、委託元の情報が漏洩 | 日本国内の多数の委託先ランサムウェア被害(2024年) |
| ハードウェアの改ざん | 製造過程でバックドアが仕込まれたハードウェア | 偽造チップ、改ざんネットワーク機器 |
| サービスプロバイダーの障害 | クラウド/SaaSの障害が顧客のビジネスに波及 | 主要クラウドの大規模障害 |
C-SCRMフレームワーク
SP 800-161は、サプライチェーンリスク管理をSP 800-39の3層モデル(組織→ミッション→システム)に統合して実施することを推奨しています。
| 層 | C-SCRMの活動 |
|---|---|
| Tier 1(組織) | C-SCRMポリシーの策定、リスク許容度の決定、経営層のコミットメント |
| Tier 2(ミッション) | 重要なサプライヤーの特定と評価、契約へのセキュリティ要件の組み込み |
| Tier 3(システム) | SBOM(ソフトウェア部品表)の管理、サプライヤー製品の脆弱性監視 |
主要な管理策
- サプライヤーの評価:主要サプライヤーのセキュリティ体制を定期評価(ISMS認証、SOC 2レポート等)
- 契約条件:セキュリティ要件、インシデント通知義務、監査権を契約に明記
- SBOMの取得・管理:ソフトウェアの構成要素(OSSライブラリ含む)を可視化(→ SBOM解説)
- 多層防御:サプライヤーの製品・サービスに依存する部分を最小化し、代替手段を確保
- 継続的監視:サプライヤーの脆弱性情報、セキュリティインシデント情報を継続的に収集
まとめ
SP 800-161はサプライチェーン攻撃に対処するためのC-SCRMフレームワークです。中小企業は「委託先の棚卸し→契約のセキュリティ条項→SBOMの把握」から着手しましょう。