米国連邦政府とサプライチェーンのサイバーセキュリティー

サプライチェーンのリスクは偶発的に悪意のあるものでも発生する可能性がありますが、意図の如何にかかわらず、重要な資産が侵害されると壊滅的な結果を招く可能性があります。すべてのテクノロジソリューションを社内で構築することは不可能であるため、米国連邦政府は、インフラの奥深くまで広がる無数のソリューションのためにサプライヤーに頼らざるを得ません。しかし、米国政府はどのようにして効果的なサイバーセキュリティー サプライチェーン リスク管理 (C-SCRM) を確保できるのでしょうか。

米国政府のサイバーセキュリティー サプライチェーン リスク管理 (C-SCRM) イニシアチブ (EO 14028 から NIST イニシアチブ (NIST SP 800-161r1 など)、FIPS 201-3 のガイドラインまで) は、民間機関やサービス部門がサプライチェーン リスクに対処するのに役立ちます。そして、さらなる取り組みが進行中です。これには、下院のサイバーセキュリティー、IT、政府イノベーション小委員会内での SBOM、FISMA、および連邦ソフトウェア サプライチェーンの保護に関連するその他のトピックに関する継続的な議論が含まれます。

サプライチェーンのリスク軽減においてクラロティが役立てること

クラロティは、以下の方法でサプライチェーンのリスクを軽減します。

その他具体的な手順は以下をご覧ください。

サプライチェーンのリスクを管理するために実行できる7つの具体的な手順

サプライチェーンのサイバーリスクは複雑で、製品のライフサイクル全体 (設計、製造、配布、展開、保守、廃棄) に及びます。ライフサイクルが長期化して複雑になるほど、脅威の主体がサプライチェーン内の安全性の低い要素を標的にして製品を悪用する機会が増えます。また、サプライチェーンはグローバルで、複数の層のサプライヤーにまたがることが多いため、セキュリティーの責任は単一の組織にはありません。ソフトウェアサプライ チェーンへの脅威を最小限に抑えるには、各層がそれに応じてリスクに対処する必要があります。

そのため、事業継続計画（BCP）を作成する際、機関やサービス部門は、自らの組織を超えて、直接のサプライヤーが実施しているセキュリティー対策、そして、サプライヤーが、元請け業者や下請け業者、そしてそのツールを含むサプライヤーの拡大ネットワークでどのようにリスクを管理し、軽減しているかについても考慮する必要があります。

そこで、次の 7 つの手順が役立ちます。

1.コミュニケーションと評価: 

重要なリスク管理は、調達に関する社内の責任を決定し、パートナーのプロセスセキュリティーを確認することから始まります。これには、機能や地域をまたいだ技術および運用リーダーに加えて、法務チームの関与が必要です。意思決定者は、連邦政府の組織と運用に対するリスクについて十分な情報に基づいた決定を下すために、サプライチェーン攻撃に関連する脅威インテリジェンスを必要とします。安全な調達とデータ保護は、パートナーや社内の利害関係者との効果的なコミュニケーションに包括される必要があります。

2.サイバーフィジカルシステムを含む、接続されたすべての資産の詳細な可視性: 

接続された組織のCPSを保護する専用のサイバーセキュリティーソリューションを検討してください。クラロティは、OT、BMS/BCS、xIoT、ヘルスケア (IoMT) 全体にわたって脅威を継続的に監視および検出し、比類のない可視性と保護を提供します。管理を簡素化し、IT チームと OT チーム間のコラボレーションを可能にする Cクラロティは、組織の既存のセキュリティー ネットワークと、サプライチェーン パートナーとのすべてのアクセス ポイントを可視性化し、この可視性をすべての主要な関係者に拡張します。

3.脅威インテリジェンスとアラートの警戒: 

新たな脅威に関する最新情報を入手し、米国とそのファイブアイズパートナーからのCISA 勧告を含む新しいアラートをトリアージします。

4.サイバーセキュリティー連合の強化: 

現在、サプライチェーンに重点が置かれているため、最上級のリーダーでさえも運用上の懸念に敏感になり、可用性、信頼性、安全性を確保するために適切なサイバー防御とプロセスが不可欠である理由をより深く認識するようになりました。セキュリティリーダーとして、現在のおよび将来のサイバーセキュリティイニシアチブをサポートするための複合的な支持を得るために、この機会を最大限に活用してください。

5.サプライチェーン全体でのコラボレーション: 

サプライチェーンは、ミッションクリティカルであるかどうかにかかわらず、業務の不可欠な部分です。したがって、セキュリティーエコシステムに統合され、同じレベルの防御で保護される必要があります。ベンチマークを設定し、脆弱性と衛生リスクに関するレポートと洞察をサプライチェーンパートナーと共有できます。

6.安全なソフトウェア開発: 

サードパーティーのソフトウェア コンポーネントを使用する場合は、コードを慎重に分析して、存在する潜在的な脆弱性を特定して理解することが重要です。セキュリティーのベスト プラクティスをソフトウェア開発プロセスに正式に統合することで、ベンダーと開発者はサプライチェーンのリスクを大幅に削減できます。

7.ソフトウェア部品表 (SBOM):

 安全なソフトウェア開発で遵守すべき特定の側面の1つは、特定のソフトウェアの構築に使用されるすべてのコンポーネントの詳細な記録であるSBOMを保持することです。詳細については、NTIAのWebサイトのSBOM を参照してください。 ​ 

サプライチェーン攻撃は目新しいものではありませんが、増加傾向にあります。クラロティは、サプライチェーンの保証を実現する必要性を認識しています。当社は、米国連邦政府がサイバー セキュリティ ーサプライチェーン全体のリスクをより効果的かつ効率的に評価、管理、軽減できるよう支援します。

◆クラロティー公式製品ページはこちらから

https://claroty.com/ja#product

◆クラロティー　ニュースレタートップページに戻る

https://claroty-jp-newsroom.prezly.com/

◆ご相談やお問い合わせは、下記よりお願いします。

https://claroty.com/ja/request-a-demo