英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15
こんにちは、丸山満彦です。
4000個目の記事になりますね。。。
さて、英国政府のデジタル・文化・メディア・スポーツ省が2021.05.17に意見募集をした、サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答が2021.11.15に発表されていますね。。。
● U.K. Govenment
プレス
・2021.11.15 (Press release) New plans to boost cyber security of UK's digital supply chains
New measures to enhance security of businesses’ IT services published
回答
・2021.11.15 (Policy paper) Government response on supply chain cyber security
The government's response to a call for views on improving cyber security in supply chains and managed service providers.
本文
・2021.11.15 Government response to the call for views on supply chain cyber security
参考
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.05.19 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての意見募集
| 1. Executive Summary | 1. エグゼクティブサマリー |
| The Supply Chain Cyber Security Call for Views sought insights from industry to inform the government’s understanding of supply chain cyber security[footnote 1]. In particular, it sought feedback on how organisations currently manage supply chain cyber security risk and what additional government support would enable organisations to do this more effectively. Respondents were also invited to provide feedback on a proposed framework for managed service provider security. This document brings together the collective insights that have been gathered through this consultation. | サプライチェーン・サイバーセキュリティ意見募集では、サプライチェーン・サイバーセキュリティに関する政府の理解を深めるため、産業界からの洞察を求めた[脚注1]。特に、企業が現在どのようにサプライチェーン・サイバーセキュリティ・リスクを管理しているか、また、どのような政府の追加支援があれば企業がより効果的にこれを行うことができるかについてのフィードバックが求められました。また、マネージドサービス・プロバイダのセキュリティに関するフレームワーク案についてもご意見をいただきました。本文書は、このコンサルテーションを通じて得られた総合的な洞察をまとめたものです。 |
| Findings from Part 1 confirm that the key barriers to effective supply chain cyber security risk management are: low recognition of supplier cyber security risk, limited visibility into supply chains, insufficient tools to evaluate supplier cyber security risk and limitations to taking action due to structural imbalances. Supporting organisations to overcome these barriers calls for a range of interventions from the government. This includes advice and guidance, improving access to a skilled workforce and the right products and services to manage risk, and working with influential market actors to drive prioritisation of supply chain cyber security risk management across the economy. | 第1部の調査結果から、効果的なサプライチェーンのサイバーセキュリティリスク管理を阻む主な要因として、サプライヤーのサイバーセキュリティリスクに対する認識の低さ、サプライチェーンの可視性の制限、サプライヤーのサイバーセキュリティリスクを評価するためのツールの不足、構造的な不均衡による行動の制限が挙げられることが確認されました。これらの障壁を克服するために組織を支援するには、政府によるさまざまな介入が必要です。これには、アドバイスやガイダンス、熟練した労働力やリスク管理に適した製品・サービスへのアクセスの改善、経済全体でサプライチェーンのサイバーセキュリティリスク管理の優先順位を高めるために市場に影響力のあるアクターと協力することなどが含まれます。 |
| Many of the respondents are using the National Cyber Security Centre’s (NCSC) Supply Chain Security Guidance and Supplier Assurance Questions. Respondents provided examples of good practice they currently follow, and identified new areas of risk not currently covered by existing guidance. However, it is clear that the barriers identified by respondents make implementation of the guidance challenging, and that further support is needed. | 回答者の多くは、国家サイバーセキュリティセンター(NCSC)の「サプライチェーンセキュリティガイダンス」と「サプライヤー保証に関する質問」を利用しています。回答者は、現在行っている優れた実践例を提示し、既存のガイダンスでは現在カバーされていない新たなリスク分野を特定しました。しかし、回答者が指摘した障壁は、ガイダンスの実施を困難にしており、さらなる支援が必要であることは明らかです。 |
| There is a growing market for technology platforms which support organisations to manage supplier risk, and respondents viewed these as the most effective commercial tool for managing supply chain cyber security risk. The government is committed to supporting this market. | 回答者は、サプライチェーンのサイバーセキュリティリスクを管理するための最も効果的な商用ツールとして、サプライヤーリスクの管理を支援する技術プラットフォームの市場が拡大していると考えています。政府はこの市場を支援することを約束しています。 |
| The findings also indicated a need for further government support to improve supply chain cyber security risk management outcomes, both in the provision of additional advice guidance, and by adopting a more interventionist approach to improve resilience across supply chains, with regulation perceived to be ‘very effective’ by more respondents than any other suggested intervention. | 今回の調査結果では、サプライチェーンのサイバーセキュリティリスク管理の成果を向上させるために、政府のさらなる支援が必要であることが示されました。これは、追加的なアドバイス・ガイダンスの提供と、サプライチェーン全体の回復力を向上させるためのより介入的なアプローチの採用の両方によるもので、規制は他のどの介入案よりも多くの回答者に「非常に効果的」と認識されました。 |
| Part 2 highlighted that managed service providers are vitally important net contributors and critical enablers of the modern UK economy. While the managed services industry plays a positive and critical role in building systemic cyber resilience in the UK, respondents identified systemic dependence on a group of the most critical providers which carry a level of risk that needs to be managed proactively. Response to the Call for Views also highlighted the difficulty that customers often face in accessing information about managed service provider cyber security. In identifying policy solutions, some respondents underlined the challenge associated with the scope of proposed definitions while others underscored the need to consider other digital technologies such as cloud and software. | 第2部では、マネージドサービス・プロバイダが、現代の英国経済において極めて重要な純貢献者であり、重要な実現者であることを強調しました。マネージドサービス業界は、英国のシステム的なサイバーレジリエンスの構築に積極的かつ重要な役割を果たしていますが、回答者は、最も重要なプロバイダーのグループにシステム的に依存していることを指摘しています。また、意見募集への回答では、マネージドサービス・プロバイダーのサイバーセキュリティに関する情報にアクセスする際に、顧客が直面する困難さが強調されていました。政策的解決策を見出すにあたり、提案されている定義の範囲に関連する課題を強調する回答者もいれば、クラウドやソフトウェアなど他のデジタル技術を考慮する必要性を強調する回答者もいました。 |
| The majority of respondents deemed the NCSC’s Cyber Assessment Framework principles to be applicable to cyber security resilience of managed service providers, indicating that these principles should be considered when establishing a future security baseline or assurance frameworks. Respondents also reacted positively to proposed policy implementation options such as education and awareness campaigns, certification or assurance marks, minimum requirements in public procurement, legislation, targeted regulatory guidance, and international engagement. | 回答者の大半は、NCSCのサイバーアセスメントフレームワークの原則がマネージドサービス・プロバイダーのサイバーセキュリティの回復力に適用できると考えており、将来のセキュリティベースラインや保証フレームワークを確立する際には、これらの原則を考慮すべきであることを示しています。また、回答者は、教育・啓発キャンペーン、認証・保証マーク、公共調達における最低要件、法律、対象となる規制ガイダンス、国際的な関与などの政策実施オプションの提案に肯定的な反応を示しました。 |
| The support for all of these policy options reinforces the need for a range of interventions. Therefore, the government will, as part of the forthcoming National Cyber Strategy, continue to work with industry experts to develop a set of policy solutions aimed at increasing the cyber security resilience of digital solutions. The interventions prioritised by the government will include legislative work to ensure that managed service providers undertake reasonable and proportionate cyber security measures. In recognition of the global nature of digital supply chains, the government will prioritise engagement with international partners and organisations to foster a joined-up international approach to securing providers of digital services such as managed services, cloud and software. | これらの政策オプションのすべてが支持されたことで、さまざまな介入の必要性が強化された。したがって、政府は、来るべき国家サイバー戦略の一環として、業界の専門家と協力して、デジタルソリューションのサイバーセキュリティの回復力を高めることを目的とした一連の政策ソリューションを開発していきます。政府が優先する介入策には、マネージドサービス・プロバイダが合理的かつ妥当なサイバー・セキュリティ対策を実施することを保証するための法律上の作業が含まれます。デジタルサプライチェーンのグローバルな性質を認識し、政府は、マネージドサービス、クラウド、ソフトウェアなどのデジタルサービスのプロバイダのセキュリティを確保するための国際的なアプローチを促進するために、国際的なパートナーや組織との連携を優先します。 |
| 2. Introduction | 2. 序文 |
| The Department of Digital, Culture, Media and Sport (DCMS) launched a Call for Views in May 2021 to seek industry feedback and insights to help inform the government’s understanding of supply chain cyber security. | デジタル・文化・メディア・スポーツ省(DCMS)は、2021年5月、サプライチェーンのサイバーセキュリティに関する政府の理解を深めるために、業界からのフィードバックや洞察を求める「意見募集」を開始しました。 |
| The Call for Views focused on further understanding two aspects of supply chain cyber security: | 今回の意見募集では、サプライチェーン・サイバーセキュリティの2つの側面についての理解を深めることに重点を置きました。 |
| Part 1 sought input on how organisations across the market manage supply chain cyber security risk and what additional government intervention would enable organisations to do this more effectively. | パート1では、市場全体の組織がどのようにサプライチェーンのサイバーセキュリティリスクを管理しているか、また、政府が追加的に介入することで組織がより効果的に管理できるようになるかについて意見を求めました。 |
| Part 2 sought input on the suitability of a proposed framework for Managed Service Provider security and how this framework could most appropriately be implemented to ensure adequate baseline security to manage the risks associated with managed service providers. | パート2では、マネージドサービス・プロバイダのセキュリティに関するフレームワーク案の妥当性と、マネージドサービス・プロバイダに関連するリスクを管理するための適切なベースライン・セキュリティを確保するために、このフレームワークを最も適切に実施する方法について意見を求めました。 |
| The Call for Views was open for eight weeks, and was publicised on gov.uk as well as across a range of trade body notice boards. | 意見募集は8週間にわたって行われ、gov.ukおよびさまざまな業界団体の掲示板で公開されました。 |
| 2.1 Summary of responses | 2.1 回答の概要 |
| In total, 214 responses were received through the Call for Views between 17 May and 26 July 2021. This included 24 responses from individuals, 96 from organisations, and 94 unspecified responses. | 2021年5月17日から7月26日にかけて、意見募集には合計214件の回答が寄せられました。その内訳は、個人からの回答が24件、団体からの回答が96件、その他の回答が94件となっています。 |
| Respondents were able to respond via an online survey, or via email. The Call for Views included a mix of open and closed questions. Respondents were not required to answer all questions. All questions and the accompanying percentages are reported based on the number of respondents that answered that individual question. This is detailed in the description of each question through each section of this government response. Where results do not sum to 100%, this may be due to computer rounding or multiple responses. | 回答者は、オンライン調査、または電子メールで回答することができました。意見募集では、オープンな質問とクローズドな質問が混在していました。回答者はすべての質問に答える必要はありません。すべての質問とそれに伴うパーセンテージは、その質問に回答した回答者の数に基づいて報告されています。これについては、この政府報告書の各セクションにある各質問の説明で詳しく述べられています。結果の合計が100%にならない場合は、コンピュータの丸め処理や複数の回答によるものである可能性があります。 |
| For open response questions, every response was reviewed and, while not every point that was made by each respondent can be reflected, responses were coded to identify common themes. | 自由記述の質問については、すべての回答を確認し、各回答者の指摘をすべて反映させることはできませんが、共通のテーマを特定するために回答をコード化しました。 |
| Alongside the Call for Views survey, DCMS undertook a number of virtual industry roundtables to allow a more in depth discussion and collect verbal feedback from a range of industry stakeholders. These events included a Ministerial roundtable and several industry led workshops, hosted by sector representative bodies. Input collected from these workshops has been analysed to help identify and reinforce key themes that arose from written responses, as well as any additional key themes. | DCMSは、意見募集の調査と並行して、業界のさまざまなステークホルダーとより深い議論を行い、口頭でのフィードバックを収集するために、いくつかの仮想的な業界円卓会議を実施しました。これらのイベントには、大臣ラウンドテーブルと、業界代表団体が主催する業界主導のワークショップが含まれています。これらのワークショップで集められた意見は、書面による回答から得られた主要なテーマを特定し、強化するために分析され、さらに主要なテーマが追加されました。 |
| This government response provides an overview of the findings we have collated through the analysis of the Call for Views responses and industry roundtables. | 今回の政府の回答は、意見募集の回答と業界の円卓会議の分析を通じて得られた知見の概要を示すものです。 |
| 3. Call for views part one: supply chain risk management | 3. 第一部:サプライチェーン・リスクマネジメント |
| 3.1 A: Barriers to effective supplier cyber security risk management | 3.1 A: 効果的なサプライヤーのサイバーセキュリティリスク管理に対する障壁 |
| The Call for Views set out our current understanding of the main barriers preventing organisations from more effectively managing supplier cyber security risk: | 意見募集では、組織がサプライヤーのサイバーセキュリティリスクをより効果的に管理することを 妨げる主な障壁について、我々の現在の理解を示しました。 |
| Low recognition of supplier risk | サプライヤーのリスクに対する認識の低さ |
| Limited visibility into supply chains | サプライチェーンの可視性が低い |
| Insufficient expertise to evaluate supplier cyber security risk | サプライヤーのサイバーセキュリティリスクを評価するための専門知識の不足 |
| Insufficient tools to evaluate supplier cyber security risk | サプライヤーのサイバーセキュリティリスクを評価するためのツールが不足している |
| Limitations to taking action due to structural imbalances | 構造的な不均衡による行動の制限 |
| Respondents were asked how much of a barrier each of these represented, and whether they faced any additional barriers to effective supplier cyber risk management.. | 回答者には、これらの障壁がそれぞれどの程度のものか、また、効果的なサプライヤー・サイバー・リスク管理のために他の障壁に直面しているかどうかを尋ねました。 |
| Q1. How much of a barrier do you think each of the following are to effective supplier cyber security risk management? | Q1. 効果的なサプライヤーのサイバーセキュリティリスク管理について、以下の各項目がどの程度障壁になっていると思いますか? |
 |
|
| Figure 1: Severity of barriers to effective supplier cyber security risk management | 図1:効果的なサプライヤー・サイバーセキュリティ・リスク管理に対する障壁の深刻度 |
| Almost all respondents to this question agreed that limited visibility in supply chains is somewhat of a barrier, or a severe barrier to effective supplier cyber security risk management (98%). This was the most likely of the five barriers to be seen as a severe barrier (67%). Nine in ten respondents thought that low recognition of supplier risk and inefficient expertise to evaluate supplier cyber security risk are barriers (90% and 89% respectively). Inefficient tools or assurance mechanisms to evaluate supplier cyber security risk was seen to be a barrier by 86%. | この質問の回答者のほぼ全員が、サプライチェーンにおける限られた可視性が、効果的なサプライヤー・サイバーセキュリティ・リスク管理にとって、多少の障壁、あるいは深刻な障壁であることに同意しています(98%)。これは、5つの障壁の中で、深刻な障壁と見なす可能性が最も高かった(67%)。回答者の10人に9人が、サプライヤーのリスクに対する認識の低さと、サプライヤーのサイバーセキュリティリスクを評価するための非効率な専門知識が障壁になっていると考えている(それぞれ90%、89%)。サプライヤーのサイバーセキュリティリスクを評価するためのツールや保証体制が不十分であることが障壁になっていると考えているのは86%でした。 |
| Fewer, although still a majority, saw ‘limitations to taking action due to structural imbalance’ to be a barrier (73% said this was either somewhat of a barrier or a severe barrier). The proportion of respondents who did not know whether this was a barrier was higher than for the other barriers (at 13%), suggesting uncertainty about this issue rather than respondents disagreeing that this is a barrier for organisations. | また、「構造的な不均衡による行動の制限」が障壁になっていると考えた人は少ないが、それでも過半数を占めた(73%が「やや障壁」または「深刻な障壁」と回答)。これが障壁であるかどうかわからない」という回答は、他の障壁よりも高く(13%)、この問題が組織にとって障壁であることに同意していないというよりも、この問題に関する不確実性を示唆しています。 |
| Q2 and Q3. Are there any additional barriers preventing organisations from effectively managing supplier cyber security risk that have not been captured above? | Q2、Q3. 組織がサプライヤーのサイバーセキュリティリスクを効果的に管理することを妨げている障壁で、上記で取り上げられていないものはありますか? |
| Two thirds who answered this question (65% of 171 respondents) stated that they believe there to be additional barriers preventing organisations from effectively managing supplier cyber security risk. A description of additional barriers was provided by 99 respondents. | この質問に回答した3分の2(171人中65%)は、組織がサプライヤーのサイバーセキュリ ティリスクを効果的に管理することを妨げる追加的な障壁があると思うと述べた。追加的な障壁についての説明は、99人の回答者から得られました。 |
| One of the most common themes related to the barrier of ‘insufficient expertise to evaluate supplier cyber security risk’. Respondents detailed the limitation of skills and experience, with some noting that this can be a particular challenge for smaller organisations. Respondents noted the lack of skilled staff with an understanding of cyber security risk in general makes it difficult to have staff in place to advise on managing supplier cyber security risks more specifically. | 最も一般的なテーマの一つは、「サプライヤーのサイバーセキュリティリスクを評価するための専 門知識が不足している」という障壁に関するものでした。回答者は、スキルと経験の限界について詳細に述べており、一部の回答者は、これが小規模な組織に とって特に大きな課題であることを指摘しています。回答者は、一般的にサイバーセキュリティリスクを理解している熟練したスタッフがいないため、サプライヤーのサイバーセキュリティリスクの管理をより具体的にアドバイスするスタッフを配置することが難しいと指摘しています。 |
| Linked to the barrier ‘inefficient tools or assurance mechanisms to evaluate supplier cyber security risk’, limitations in the standards and frameworks landscape was a frequently mentioned barrier. Respondents cited a lack of a common standard for organisations to be measured against (with mentions of existing standard and frameworks such as ISO 270001, Cyber Assessment Framework, Cyber Essentials and NIST, among others) creating a lack of a cohesive accepted approach or standards for organisations to work towards. Respondents that referenced specific standards often noted that Cyber Essentials was commonly understood as a good way of demonstrating compliance with a minimum baseline. Beyond this baseline, there was confusion for organisations about which standards they should be adhering to, or expecting of suppliers. | また、「サプライヤーのサイバーセキュリティリスクを評価するための非効率的なツールや保証メカニズム」という障壁に関連して、規格やフレームワークの制限が頻繁に挙げられました。回答者は、組織が評価を受けるための共通の基準がないことを挙げています(ISO 270001、Cyber Assessment Framework、Cyber Essentials、NISTなどの既存の基準やフレームワークが挙げられています)。特定の規格に言及している回答者は、Cyber Essentialsは、最低限のベースラインに準拠していることを示す良い方法として一般的に理解されていると述べています。しかし、この基準を超えると、企業はどの基準を遵守すべきか、あるいはサプライヤーにどのような期待をすべきか、混乱してしまいます。 |
| A recurrent concern was the inadequacy of assurance questionnaires as a key tool of supply chain cyber security risk management. This was also a common theme of workshop feedback. Respondents noted that questionnaires could be subjective, could be manipulated and required expertise both to answer and interpret responses. The lack of consistency and standardisation increased burden and resulted in duplicated effort. This was often seen as arising from the barrier above around lack of a common standard. However, some respondents also warned against an over-reliance on standards and certifications, which could lead to a reductive approach to managing supply chain cyber security risk. | また、サプライチェーンにおけるサイバーセキュリティのリスク管理の重要なツールとして、保証のためのアンケートが不十分であるという問題もありました。これは、ワークショップのフィードバックにも共通するテーマでした。回答者は、アンケートが主観的であったり、操作が可能であったり、回答や回答の解釈に専門知識が必要であったりすることを指摘しています。また、一貫性や標準化がなされていないため、負担が大きくなり、重複した作業が発生します。これは多くの場合、共通の基準がないという上記の障壁から生じていると考えられました。しかし、一部の回答者は、規格や認証に過度に依存することで、サプライチェーンのサイバーセキュリティリスクを管理するための還元的なアプローチにつながる可能性があると警告しています。 |
| Resources and prioritsation were further themes mentioned by respondents to the Call for Views. Many mentioned insufficient time or staff resources to be able to review suppliers, while others cited the cost and financial resources this requires. Resource challenges were considered to be exacerbated by the lack of appropriate tools mentioned above. Linked to concerns around the costs of managing supplier risks, prioritisation of supply chain risk management was also seen to be an issue for some. One respondent commented that: | リソースと優先順位は、意見募集の回答者が挙げたもう一つのテーマです。多くの回答者は、サプライヤーをレビューするための時間やスタッフのリソースが不足していると述べており、また他の回答者は、そのために必要なコストや財源を挙げています。リソースの問題は、前述の適切なツールの不足によってさらに悪化すると考えられます。サプライヤーリスク管理のコストに関する懸念と関連して、サプライチェーンリスク管理の優先順位付けも一部の人にとっては問題であると考えられています。ある回答者は次のようにコメントしています。 |
| “The cost of cyber security is perceived by some as too expensive, also tight margin business working across multiple sector may consider cost of compliance as too high, i.e. other customers don't require it and as such the flow through impact on the overall business cost is such that they believe it will make them unaffordable or less affordable in certain sectors / markets.” | 「また、複数のセクターにまたがる利益率の低いビジネスでは、コンプライアンスのコストが高すぎると考えているかもしれません。つまり、他の顧客はコンプライアンスを必要としていないため、ビジネス全体のコストに影響を及ぼし、特定のセクターや市場では手が出ない、あるいは手が出にくくなると考えているのです。 |
| A number of respondents cited lack of prioritisation of supply chain risk management among boards or senior management as a barrier, either through lack of understanding of risk, or due to prioritisation of budget and resources elsewhere in the organisation. Some respondents saw this inadequate prioritisation as arising from a lack of information about the impact or costs of cyber security incidents arising from the supply chain. | 多くの回答者が、取締役会や上級管理職の間でサプライチェーン・リスクマネジメントの優先順位が低いことを障壁として挙げています。これは、リスクに対する理解が不足しているため、あるいは組織内の他の場所で予算やリソースの優先順位が高いためです。回答者の中には、この不十分な優先順位付けは、サプライチェーンで発生したサイバーセキュリティインシデントの影響やコストに関する情報が不足していることに起因すると考えている人もいました。 |
| A range of issues related to the complexity of modern supply chains were also raised, including the lack of alternative suppliers for some products or services, the multiple layers of supply chains, the increasing volume of suppliers, the international nature of supply chains and lack of transparency in supplier relationships. | また、現代のサプライチェーンの複雑さに関連する様々な問題が提起されました。これには、製品やサービスによっては代替となるサプライヤーが存在しないこと、サプライチェーンが何層にも分かれていること、サプライヤーの数が増えていること、サプライチェーンが国際的であること、サプライヤー関係の透明性が欠けていることなどが含まれます。 |
| As a result of these barriers, some respondents argued that harder measures, such as regulation or enforcement for organisations to adhere to a defined standard, would be needed in order to ameliorate the issue of insufficient supply chain risk management. | これらの障壁の結果、一部の回答者は、サプライチェーンのリスク管理が不十分であるという問題を改善するためには、組織が定義された基準を遵守するための規制や強制といった、より厳しい措置が必要であると主張しました。 |
| 3.2 Government response | 3.2 政府の回答 |
| Responses show that the barriers set out in the Call for Views are relevant, and reflect the difficulty and complexity organisations face in managing their supply chain cyber security risk. No single barrier stood out as uniquely challenging, therefore the government will continue to pursue a broad range of policy interventions to address these challenges, as part of the forthcoming National Cyber Strategy. | 回答によると、意見募集で設定された障壁は適切であり、組織がサプライチェーンのサイバーセキュリ ティリスクを管理する際に直面する困難さと複雑さを反映しています。そのため、政府は、来るべき国家サイバー戦略の一環として、これらの課題に対処するための広範な政策介入を引き続き追求していきます。 |
| Prioritisation and incentives | 優先順位付けとインセンティブ |
| Addressing supply chain cyber security risk requires investment from organisations, and lack of incentive to do so was identified as a significant additional barrier to cyber resilience. It is the responsibility of senior management and boards to prioritise and drive investment in this area. Some respondents suggested regulation was necessary to change behaviour, and this is a lever that is already used in sectors where more stringent controls are essential (please see Part 2 for further reference on future regulatory plans). Alongside regulation, the government will seek to harness influential market agents to drive supply chain cyber security risk management up the agenda, ensuring they have access to appropriate guidance and information about the costs and impact of cyber incidents to strengthen the internal case for investment. Future government engagement will target those professionals and functions that may influence investment decisions within organisations, such as investors, banks and insurers, so that companies throughout the supply chain feel compelled to prioritise cyber security risk management. | サプライチェーンのサイバーセキュリティリスクに対処するためには、組織からの投資が必要であり、そのためのインセンティブの欠如は、サイバーレジリエンスの重要な追加的障壁として認識されました。この分野への投資に優先順位をつけて推進するのは、上級管理職と取締役会の責任です。回答者の中には、行動を変えるためには規制が必要だという人もいましたが、これは、より厳格な管理が必要な分野ではすでに使われている手段です(今後の規制計画についてはパート2を参照)。規制と並行して、政府はサプライチェーンのサイバーセキュリティのリスク管理を議題にするために、影響力のある市場関係者を活用し、サイバーインシデントのコストと影響に関する適切なガイダンスと情報へのアクセスを確保して、投資のための内部ケースを強化することを目指します。今後の政府の取り組みは、投資家、銀行、保険会社など、組織内の投資判断に影響を与える可能性のある専門家や機能を対象とし、サプライチェーン全体の企業がサイバー・セキュリティ・リスク管理を優先して取り組まざるを得ないようにします。 |
| Standards and certification | 規格と認証 |
| The results highlight that the large number of competing standards and certification products, plus a lack of a commonality in approach, have contributed to the view that available tools for evaluation and assurance were inadequate. The government’s Cyber Essentials Scheme is recognised as providing an accepted baseline for organisations to gain a minimum level of confidence in their suppliers’ cyber security risk posture. The government is therefore considering ways of increasing the uptake of Cyber Essentials across the wider economy so that it becomes a more universally adopted minimum security requirement in supplier contracts. In addition, the government will consider what can be done to clarify and consolidate the standards landscape above this minimum in order to make it a more effective tool for supply chain risk management. | 今回の調査結果では、競合する規格や認証製品が多いことに加え、アプローチに共通性がないことが、評価と保証のための利用可能なツールが不十分であるとの見解につながっていることが明らかになりました。政府のCyber Essentialsスキームは、企業がサプライヤーのサイバーセキュリティリスク対策に最低限の信頼性を得るための基準として認められています。そのため、政府は、Cyber Essentialsがサプライヤーとの契約におけるセキュリティの最低要件としてより普遍的に採用されるよう、経済全体におけるCyber Essentialsの普及率を高める方法を検討しています。また、サプライチェーンのリスク管理のためのより効果的なツールとするために、最低限の基準以上の基準を明確にし、統合するために何ができるかを検討していきます。 |
| Supply chain oversight | サプライチェーンの監視 |
| More clarity around different standards and certifications, and their relative merit, could help organisations more easily understand the security controls their suppliers have in place, and begin to address the lack of visibility into supply chains that respondents reported as one of the most significant barriers to effective risk management. Evidence also shows that there are an increasing array of commercial offerings directed at addressing the problem of supply chain oversight (see section D). The government will continue to support innovation and the growth of new startups in the cyber security sector through initiatives such as NCSC for Startups which brings together innovative startups with NCSC technical expertise to solve some of the UK’s most important cyber challenges, including supply chain cyber security risk. | さまざまな規格や認証、およびそれらの相対的なメリットをより明確にすることで、企業はサプライヤーが実施しているセキュリティ管理をより簡単に理解できるようになり、回答者が効果的なリスク管理の最も大きな障壁の1つとして報告したサプライチェーンの可視性の欠如に対処できるようになります。また、サプライチェーンの監視の問題に対処するための商用製品が増えていることも明らかになっています(セクションD参照)。政府は、NCSC for Startupsのような取り組みを通じて、サイバーセキュリティ分野におけるイノベーションと新興企業の成長を引き続き支援していきます。NCSC for Startupsは、革新的な新興企業とNCSCの技術的専門知識を結びつけることで、サプライチェーンのサイバーセキュリティリスクなど、英国で最も重要なサイバー課題を解決します。 |
| Cyber skills | サイバースキル |
| It is clear that access to skills remains a significant barrier, particularly for smaller organisations with fewer resources. This is reflective of the wider challenge of cyber security skills gaps and shortages in the UK. The government is addressing this challenge through funding mechanisms, working in partnership with further and higher education providers, and establishing formal accreditation for cyber skills through the UK Cyber Security Council. This will give organisations greater access to professionals with the skills to evaluate their suppliers’ cyber security risk posture. The work of the UK Cyber Security Council will also define the skills required by non-cyber professionals, such as procurement teams and security teams, to assess supplier risk throughout the supply chain lifecycle. | スキルへのアクセスは、特にリソースの少ない中小企業にとって、依然として大きな障壁となっていることは明らかです。これは、英国におけるサイバーセキュリティのスキルギャップと不足という幅広い課題を反映しています。政府はこの問題に対処するため、資金調達の仕組みや、高等教育機関との連携、UK Cyber Security Councilを通じたサイバースキルの正式な認定制度の設立などを行っています。これにより、企業は、サプライヤーのサイバーセキュリティのリスク態勢を評価するスキルを持つ専門家をより多く利用できるようになります。また、英国サイバーセキュリティ協議会の活動は、サプライチェーンのライフサイクルを通じてサプライヤーのリスクを評価するために、調達チームやセキュリティチームなどの非サイバー専門家が必要とするスキルを定義するものでもあります。 |
| 3.3 B: Supply Chain cyber security risk Management | 3.3 B: サプライチェーンにおけるサイバーセキュリティのリスク管理 |
| The Call for Views asked whether respondents have used the Centre for the Protection of National Infrastructure (CPNI) and NCSC’s Supply Chain Security Guidance, how challenging organisations find it to effectively act on these principles, and asked for examples of good practice for organisations implementing these aspects of supply chain cyber security risk management. | 意見募集では、回答者がCPNI(Centre for the Protection of National Infrastructure)とNCSCの「サプライチェーン・セキュリティ・ガイダンス」を利用したことがあるかどうか、組織がこれらの原則に基づいて効果的に行動することがどれほど困難であるか、また、サプライチェーン・サイバーセキュリティ・リスク管理のこれらの側面を実施している組織の優れた実践例を求めました。 |
| Q4 Have you used the CPNI-NCSC Supply Chain Security Guidance? | Q4 CPNI-NCSCサプライチェーンセキュリティガイダンスを利用したことがありますか? |
| Of the respondents who answered the question, half stated that they had used the CPNI and NCSC’s Supply Chain Security Guidance (52% of 157 respondents). | この質問に答えた回答者のうち、半数がCPNIとNCSCの「サプライチェーンセキュリティガイダンス」を利用したことがあると回答しました(回答者157名のうち52%)。 |
| Q5: How challenging do (or would) organisations find it to effectively act on these principles of supply chain cyber security risk management, as outlined in the CPNI-NCSC Supply Chain Security Guidance? | Q5: CPNIとNCSCのサプライチェーンセキュリティガイダンスで説明されている、サプライチェーンのサイバーセキュリティリスク管理の原則に基づいて効果的に行動することは、組織にとってどの程度困難なことですか(あるいはそうしたいと思いますか)? |
| Respondents were asked how challenging organisations find it (or would find it) to effectively act on the principles of supply chain cyber security risk management as outlined in the CPNI - NCSC’s Supply Chain Security Guidance (Figure 2). | 回答者には、CPNI-NCSCのサプライチェーンセキュリティガイダンスに概説されているサプライチェーンのサイバーセキュリティリスク管理の原則に基づいて効果的に行動することが、組織にとってどの程度困難であるか(あるいはそうするであろうか)を尋ねました(図2)。 |
| Figure 2: Level of challenge for organisations acting on principles of supply chain cyber security risk management | 図2:サプライチェーン・サイバーセキュリティ・リスク管理の原則に基づいて行動する組織にとっての課題のレベル |
| The majority of respondents stated that it is challenging or would be challenging for organisations to effectively act on each of the principles of supply chain risk management. | 回答者の大半は、組織がサプライチェーンのリスク管理の各原則に基づいて効果的に行動することは困難である、または困難であると述べています。 |
| ‘Establishing control of supply chains’ was seen to be the most challenging principle for organisations to act on, with 86% saying this was challenging (either slightly or very). Respondents were most likely to say establishing control is very challenging (59%). | 「サプライチェーン管理の確立」は、組織が行動する上で最も困難な原則であると考えられており、86%がこれは困難である(少し困難、または非常に困難)と回答しました。回答者は、統制の確立が非常に困難であると答えた割合が最も高かった(59%)。 |
| ‘Checking arrangements’ was seen to be challenging by 86% of respondents to this question (very or slightly challenging), with 44% stating this is very challenging. | 「体制の確認」は、この質問に対する回答者の86%が困難であると考えており(非常に困難、またはわずかに困難)、44%が非常に困難であると回答しています。 |
| ‘Continuing to improve, evolve and maintain security’ was seen to be challenging by 85% of respondents, with half saying that this is very challenging (49%). | セキュリティを改善、進化、維持し続けること」は、85%の回答者が困難であると考えており、半数の回答者(49%)が非常に困難であると答えています。 |
| Fewer respondents thought that the principle of ‘Understanding the risks’ was challenging for organisations to effectively act on, although this was still the majority of respondents at 76%. A third (30%) of respondents said it was very challenging for organisations to do this. | 「リスクを理解する」という原則は、組織が効果的に行動する上で困難であると考える回答者は少なかったが、それでも76%と大多数を占めた。回答者の3分の1(30%)は、組織がこれを行うことは非常に困難であると答えました。 |
| Q6. What are examples of good practice for organisations implementing these aspects of supply chain cyber security risk management? | Q6. サプライチェーン・サイバーセキュリティ・リスク管理のこれらの側面を実施している組織のグッドプラクティスの例は何ですか? |
| Respondents were asked to provide examples of good practice of organisations implementing each of the four aspects of supply chain cyber security risk management. | 回答者は、サプライチェーン・サイバーセキュリティ・リスク管理の4つの側面のそれぞれを実施している組織の優れた実践例を提供するよう求められました。 |
| Q6(a). Understanding the risk (examples provided by 85 respondents) | Q6(a). リスクの理解(85人の回答者が提供した例) |
| The most common example of good practice around understanding risk was the creation of a risk management process or framework. Many respondents also mentioned the importance of creating a risk register as good practice for understanding risk. Some highlighted the need to maintain a register of assets, ensuring that they are aware of their critical assets and what assets suppliers have access to. | リスクの理解に関する優れた実践例として最も多かったのは、リスク管理プロセスやフレームワークの作成でした。また、リスクを理解するためのグッド・プラクティスとして、リスク・レジスターの作成の重要性を挙げる回答者も多くいました。一部の回答者は、資産の登録を維持する必要性を強調し、自社の重要な資産と、サプライヤーがどのような資産にアクセスできるかを確実に把握していました。 |
| Having oversight of the supply chain was also seen to be a key element of understanding risk. Suggestions of good practice included ensuring that there is continual supplier assessment through, for example, ongoing supplier assurance questionnaires and improving supply chain transparency. For some, the use of existing standards and frameworks, such as International Organization for Standardization (ISO) standards or Cyber Essentials, were seen to be good practice for organisations in understanding the risks posed by their supply chain. | また、サプライチェーンを監視することも、リスクを理解するための重要な要素であると考えられています。グッドプラクティスの提案としては、例えば、サプライヤー保証アンケートを継続的に実施することで、サプライヤーの評価を継続的に行うことや、サプライチェーンの透明性を高めることなどが挙げられました。また、サプライチェーンがもたらすリスクを理解する上で、国際標準化機構(ISO)の規格やCyber Essentialsなどの既存の規格やフレームワークを利用することが、組織にとってのグッドプラクティスであると考える人もいました。 |
| Use of technology was also highlighted by some as a good practice in understanding supply chain risks. Examples included verification through technology, such as binary scans and deploying real time cyber security risk management tools. Other suggested examples of good practice mentioned by smaller proportions of respondents included analysis of threat intelligence, product risk certification, externally verified certification, prioritisation of risk management over commercial considerations and board-level awareness of cyber security risk. | また、サプライチェーンのリスクを理解するためのグッドプラクティスとして、テクノロジーの活用を挙げる声もありました。例としては、バイナリスキャンなどの技術による検証や、リアルタイムのサイバーセキュリティリスク管理ツールの導入などが挙げられました。その他のグッドプラクティスの例としては、脅威情報の分析、製品リスクの認証、外部で検証された認証、商業的な検討よりもリスク管理を優先すること、サイバーセキュリティリスクに対する取締役会レベルの認識などが挙げられたが、回答者の割合は少しでした。 |
| Q6(b). Establishing control (examples provided by 72 respondents) | Q6(b). コントロールの確立(72人の回答者が提供した例) |
| Respondents thought it was important to be able to contractually hold suppliers to account on their cyber security and to write mitigations and potential penalties for violations into tendering processes and supplier agreements. | 回答者は、契約によってサプライヤーにサイバーセキュリティの責任を負わせることができ、入札プロセスやサプライヤー契約に違反に対する緩和策や罰則の可能性を書き込めることが重要だと考えています。 |
| Cooperation between suppliers and customers was seen to be an important element for establishing control for some respondents, as was having the right to audit suppliers written into contractual agreements. Small numbers mentioned the need for independent supplier assurance and verification, supply chain transparency, having oversight of critical suppliers, ongoing supplier management and carrying out annual supplier assurance. | 回答者の中には、サプライヤーと顧客の間の協力が、コントロールを確立するための重要な要素であると考えている人もいました。また、サプライヤーを監査する権利を契約書に明記することも重要だと考えていました。また、独立したサプライヤーの保証と検証、サプライチェーンの透明性、重要なサプライヤーの監督、継続的なサプライヤーの管理、毎年のサプライヤー保証の実施などの必要性を挙げた回答者は少数でした。 |
| Requiring suppliers to adhere to minimum security requirements was seen by some as good practice for establishing control over supplier risk management. In some cases, respondents thought this should require adherence to existing standards or frameworks, such as Cyber Essentials and ISO 27001. | サプライヤーに最低限のセキュリティ要件を要求することは、サプライヤーのリスク管理を確立するためのグッドプラクティスであると考える回答者もいました。場合によっては、Cyber EssentialsやISO 27001のような既存の規格やフレームワークへの準拠を求めるべきだとの意見もありました。 |
| Q6(c). Checking arrangements (examples provided by 73 respondents) | Q6(c). チェック体制 (73人の回答者が提供した例) |
| The most common examples of best practice regarding checking arrangements concerned the auditing of suppliers. Reserving the right to audit suppliers was seen to be important, particularly with on-site checks. Within this, regular auditing and independent auditors were elements recommended by respondents as good practice. Many respondents also stated that it is good practice to have assurance activities built into all contracted terms and conditions. | チェック体制に関するベスト・プラクティスで最も多かった例は、サプライヤーの監査に関するものでした。サプライヤーを監査する権利を留保することは、特にオンサイト・チェックにおいて重要であると考えられます。この中で、定期的な監査と独立した監査人は、回答者が優良事例として推奨する要素でした。また、多くの回答者は、保証活動をすべての契約条件に組み込むことが良い方法であると述べています。 |
| Supplier reporting of assurance processes, security testing and of incidents were also seen to be good practice. Some mentioned the need for penetration testing as a good practice assurance activity as well as the conducting of vulnerability scans. | また、保証プロセス、セキュリティテスト、インシデントに関するサプライヤからの報告もグッドプラクティスであると考えられます。一部の回答者は、セキュリティ保証活動のグッドプラクティスとして、ペネトレーションテストの必要性や、脆弱性スキャンの実施を挙げています。 |
| Smaller numbers of respondents mentioned a number of other themes including: the importance of technical expertise, requiring adherence/ proof of certificates to standards (e.g. ISO 270001 or Cyber Essentials), use of supplier questionnaires, having a software bill of materials (SBOM)/ asset register and performance incentives for suppliers. | その他のテーマとしては、技術的な専門知識の重要性、ISO 270001 や Cyber Essentials などの規格への準拠・証明の要求、サプライヤに対するアンケートの実施、SBOM(ソフ トウェア部品表)・資産台帳の作成、サプライヤに対するパフォーマンスインセンティブなどを挙げた回答者は少数でした。 |
| Q6(d). Continuing to improve, evolve and maintain security (examples provided by 70 respondents) | Q6(d). セキュリティの継続的な改善、進化、維持(70人の回答者が提供した例) |
| Comments around good practice for improvement largely centred around supplier engagement and working in close partnership with suppliers for continuous improvement. | 改善のためのグッドプラクティスに関するコメントは、主に、サプライヤーとのエンゲージメントや、継続的な改善のためのサプライヤーとの緊密なパートナーシップに集中しています。 |
| The second most common theme was ongoing monitoring. Respondents stated that there was a need for regular reviews and meetings with suppliers and that it is important to regularly review to identify changing risks. Some respondents also mentioned the need to incorporate these strategies for continuous improvement into contractual agreements. | 2番目に多かったテーマは、継続的なモニタリングでした。回答者は、サプライヤーとの定期的なレビューやミーティングの必要性や、変化するリスクを特定するための定期的なレビューが重要であると述べています。また、これらの継続的改善のための戦略を契約書に盛り込む必要があるとの意見もありました。 |
| Some thought that improvements could be driven through governance, for example by establishing a supply chain governance board to discuss risks, challenges and action plans or regular governance meetings with critical suppliers. Some suggested that supply chain cyber security risk management should be linked to the wider business risk appetite and strategy. | また、リスクや課題、アクションプランを議論するサプライチェーンガバナンス委員会の設置や、重要なサプライヤーとの定期的なガバナンス会議など、ガバナンスによって改善を進めることができるという意見もありました。また、サプライチェーンのサイバーセキュリティのリスク管理は、より広範なビジネスのリスク選好と戦略にリンクさせるべきだという意見もありました。 |
| Q7 What additional principles or advice should be included when considering supply chain cyber security risk management? (answered by 66 respondents) | Q7 サプライチェーン・サイバーセキュリティ・リスク管理を検討する際に、どのような追加原則やアドバイスを含めるべきですか? (回答者66名) |
| Respondents were asked what additional principles or advice should be included when considering supply chain cyber security risk management. | 回答者は、サプライチェーン・サイバーセキュリティ・リスク管理を検討する際に、どのような追加の原則や助言を含めるべきかを尋ねられました。 |
| A prominent theme was having full knowledge and understanding of any given supplier’s risk profile, including senior management having awareness of the risk management for their choice of supplier, categorising suppliers by risk and also engaging them to manage their risk target. On an ongoing basis, things like regular check-ups on supplier risk and advice on how to audit suppliers, or how to also conduct a simple and repeatable assurance process also all received a moderate number of responses. | 顕著なテーマは、特定のサプライヤーのリスクプロファイルを十分に知り、理解することでした。これには、シニアマネジメントがサプライヤーを選択する際のリスク管理について認識していること、サプライヤーをリスク別に分類していること、また、リスクターゲットを管理するためにサプライヤーを巻き込んでいることなどが含まれます。継続的な取り組みとしては、サプライヤーのリスクを定期的にチェックしたり、サプライヤーを監査する方法をアドバイスしたり、シンプルで反復可能な保証プロセスを実施する方法などがあり、いずれも中程度の数の回答がありました。 |
| There were also responses around risk management, such as clearly defining responsibilities for risk management as there can be confusion on the supplier’s exact risk management responsibilities. Additionally, taking a holistic view of risk management that could include reputational or legal issues was also suggested. | また、リスクマネジメントに関する回答もありました。例えば、サプライヤーの正確なリスクマネジメントの責任について混乱が生じる可能性があるため、リスクマネジメントの責任を明確に定義すること。また、風評被害や法的問題を含めた全体的な視点でリスク管理を行うことも提案されました。 |
| 3.4 Government response | 3.4 政府の対応 |
| The NCSC’s Supply Chain Security Guidance is well used by organisations who are seeking to manage supply chain cyber security risk. However, there is still work to be done to ensure that all organisations across the economy are aware of, and are fully utilising, this guidance. | NCSCのサプライチェーンセキュリティガイダンスは、サプライチェーンのサイバーセキュリティリスクを管理しようとしている組織によく利用されています。しかし、経済全体のすべての組織がこのガイダンスを認識し、十分に活用していることを確認するためには、まだやるべきことがあります。 |
| Whilst many of the organisations who responded to the Call for Views are confident in understanding the risks posed by suppliers they find implementing a number of the principles of the CPNI-NCSC guidance challenging. In particular as establishing control over the supply chain, checking arrangements with suppliers, and continuous improvement. It is clear that the barriers identified in Section 1 are important factors which might inhibit organisations from fully implementing CPNI-NCSC guidance. The government is working to alleviate these barriers through the approaches set out in section 1 - improving standards and certification, supply chain oversight and risk management and improved skills. | 意見募集に回答した組織の多くは、サプライヤーがもたらすリスクを理解していることに自信を持っていますが、CPNI-NCSCガイダンスの多くの原則を実施することは困難であると感じています。特に、サプライチェーンの管理体制の確立、サプライヤーとの取り決めの確認、継続的な改善などが挙げられます。セクション1で特定された障壁は、組織がCPNI-NCSCガイダンスを完全に実施することを阻害する可能性のある重要な要因であることは明らかです。政府は、セクション1で示されたアプローチ-規格と認証の改善、サプライチェーンの監視とリスク管理、スキルの向上-を通じて、これらの障壁を軽減するために取り組んでいます。 |
| Respondents identified several areas of good practice across the various principles of supply chain cyber security risk management, such as carrying out regular audits with suppliers, and promoting a culture of sharing threat information and support with suppliers. Whilst good practice will vary by sector and organisation type this information is crucial to helping inform the development of new CPNI-NCSC guidance on managing supply chain cyber security risks. These findings will be incorporated into the development of future iterations of the CPNI-NCSC’s guidance. | 回答者は、サプライチェーンにおけるサイバーセキュリティのリスク管理の様々な原則の中で、サプライヤーとの定期的な監査の実施や、脅威の情報やサポートをサプライヤーと共有する文化の促進など、いくつかの優良事例を特定しました。この情報は、サプライチェーンのサイバーセキュリティリスク管理に関するCPNI-NCSCの新しいガイダンスの作成に役立つ重要なものです。これらの知見は、CPNI-NCSC のガイダンスの将来の改訂版の開発に組み込まれます。 |
| 3.5 C: Supplier Assurance | 3.5 C: サプライヤー保証 |
| Building on the CPNI-NCSC Supply Chain Security Guidance, the NCSC has developed a set of Supplier Assurance Questions designed to guide organisations in their discussions with suppliers and ensure confidence in their cyber security risk management practices. The questions cover the priority areas organisations should consider when assuring their suppliers have appropriate cyber security protocols in place. | CPNI-NCSCのサプライチェーン・セキュリティ・ガイダンスに基づき、NCSCは、組織がサプライヤーと議論する際の指針となり、サプライヤーのサイバーセキュリティ・リスク管理の実践に対する信頼性を確保することを目的とした「サプライヤー保証に関する質問集」を作成した。この質問は、サプライヤーが適切なサイバーセキュリティプロトコルを導入していることを保証する際に、組織が考慮すべき優先分野をカバーしています。 |
| This section of the Call for Views explores whether respondents have used or plan to use NCSC’s Supplier Assurance Questions and additional areas of supplier assurance that should be outlined (Figure 3). | 意見募集のこのセクションでは、回答者がNCSCの「サプライヤー保証に関する質問」を使用したことがあるか、または使用する予定があるかどうか、また、サプライヤー保証について説明すべき追加分野について調査します(図3)。 |
| Q8. Have you used or do you plan to use the NCSC’s Supplier Assurance Questions? | Q8. NCSCのサプライヤー保証に関する質問を使用したことがありますか、または使用する予定がありますか? |
| Q9. Are there any additional areas of supplier assurance that should be outlined? | Q9. サプライヤー保証について、追加で説明すべき点はありますか? |
| Figure 3: Whether used or plan to use the NCSC’s Supplier Assurance Questions |
図3:NCSCのサプライヤー保証に関する質問を使用したか、または使用する予定があるか |
| Just over half who responded to Question 8 (54%) stated that they either have used or plan to use the NCSC’s Supplier Assurance Questions, demonstrating a relatively high degree of awareness and usage of government guidance in this area among respondents to the Call for Views. | 質問8に対する回答者の半数強(54%)が、NCSCの「サプライヤー保証に関する質問」を使用したことがある、または使用する予定があると回答しており、意見募集の回答者の間では、この分野の政府ガイダンスの認知度と使用率が比較的高いことが分かりました。 |
| Around half of respondents to Question 9 (49%) believed that there are additional supplier assurance areas that need to be addressed, with only a small number (11%) stating that there are no additional areas to be outlined. | 質問9の回答者の約半数(49%)は、追加で取り組むべきサプライヤー保証分野があると考えており、「追加で概要を示すべき分野はない」と回答したのはごく少数(11%)でした。 |
| Q10. What additional areas of supplier assurance should be outlined? (answered by 50 respondents) | Q10. どのようなサプライヤー保証の分野を追加する必要がありますか? (回答者数:50名) |
| The most common topic addressed by respondents was Application Security, with supplementary comments around secure software development processes and even security training for software developers. | 回答者が最も多く取り上げたテーマは「アプリケーションセキュリティ」であり、安全なソフトウェア開発プロセスやソフトウェア開発者向けのセキュリティトレーニングに関する補足的なコメントもありました。 |
| Some respondents further elaborated on how to establish quality application security. For example, that attention should be paid to implementing a strict command and control environment around application internet activity, and third party penetration testing should be mandatory for any application with inbound or outbound connectivity, where ideally this connectivity is restricted to the control centre with tight user permissions. | 回答者の中には、質の高いアプリケーションセキュリティを確立する方法について、さらに詳しく説明している人もいました。例えば、アプリケーションのインターネット上での活動について、厳格なコマンド&コントロール環境を導入することに注意を払うべきであるとしています。また、インバウンドまたはアウトバウンドの接続を行うアプリケーションについては、サードパーティによるペネトレーションテストを必須とし、理想的には、この接続をコントロールセンターに限定し、厳しいユーザー権限を与えるべきであるとしています。 |
| Many respondents wrote more broadly about cyber security risk management of suppliers and the need for further guidance for creating an assurance questionnaire, guidance for supplier contracts, or determining compliance with frameworks. Many respondents described further specific elements they would look at as part of their supplier assurance, and how they would use additional risk assessment regimes to supplement questionnaire responses as part of their assurance approach. | 多くの回答者は、供給者のサイバーセキュリティリスク管理についてより広範に記述しており、保証質問書の作成、供給者との契約に関するガイダンス、またはフレームワークへの準拠の判断に関するさらなるガイダンスの必要性を指摘しています。多くの回答者は、サプライヤ保証の一環として検討する具体的な要素や、保証アプロー チの一環として質問票の回答を補完するために追加のリスク評価制度をどのように利用す るかについて述べています。 |
| 3.6 Government response | 3.6 政府の対応 |
| The NCSC’s Supplier Assurance Questions have become a recognised tool for organisations seeking to gain assurance in their suppliers’ risk posture. This is a positive result. | NCSCの「サプライヤー保証に関する質問」は、サプライヤーのリスク体制を保証しようとする組織にとって、認知されたツールとなった。これはポジティブな結果です。 |
| Respondents highlighted areas, such as application security, not currently covered by the guidance, as well as a broader request for further guidance. The NCSC’s new approach to technology assurance, set out in the recently published Future of Technology Assurance White Paper and a set of technology assurance principles due to be published in the autumn, offer a means to gain confidence in the cyber security of the services and technologies on which the UK relies. DCMS will work with the NCSC to ensure any remaining gaps highlighted by respondents inform the development of these principles, and subsequent iterations of the Supplier Assurance Questions. | 回答者は、アプリケーション・セキュリティなど、現在のガイダンスでカバーされていない分野を強調し、さらなるガイダンスを求める声も広く寄せられました。NCSCの技術保証に対する新しいアプローチは、最近発表された「技術保証の将来」白書と、秋に発表予定の技術保証原則で示されており、英国が依存しているサービスや技術のサイバーセキュリティに対する信頼を得るための手段となります。DCMS は NCSC と協力して、回答者が指摘したギャップが、これらの原則やその後の「サプライヤ ー保証に関する質問」の作成に反映されるようにします。 |
| 3.7 D: Commercial Offerings | 3.7 D: 商業的提供物 |
| There are several existing commercial offerings that can be used by organisations to help with the management of supply chain cyber security risk. However, the market failures that create barriers to supply chain risk management may stifle the uptake of these products. | サプライチェーンのサイバーセキュリティリスクの管理を支援するために、組織が利用可能な既存の商業サービスがいくつかあります。しかし、サプライチェーン・リスク管理の障壁となる市場の失敗が、これらの製品の採用を 妨げている可能性があります。 |
| These products and services that can assist organisations in gaining visibility and control over their supply chain are categorised below and outlined in more detail in the Call for Views. | 組織がサプライチェーンを可視化し、コントロールするのに役立つこれらの製品やサービスは、以下のように分類され、意見募集で詳細に説明されています。 |
| Private supplier-assurance companies | 民間のサプライヤー・インシュアランス会社 |
| Platforms for supporting supplier risk management | サプライヤーのリスク管理をサポートするプラットフォーム |
| Supply chain management system providers | サプライチェーンマネジメントシステムプロバイダー |
| Risk, supply chain and management consultancies | リスク、サプライチェーン、マネジメントのコンサルタント会社 |
| Suppliers of outsourced procurement services | アウトソーシングされた調達サービスの提供者 |
| Industry cyber security certification schemes. | 業界のサイバーセキュリティ認証制度 |
| This section of the Call for Views sought insights on how effective these commercial offerings are in supporting organisations to manage their supplier cyber security risk and sought examples of other effective commercial offerings. | 意見募集のこのセクションでは、組織がサプライヤーのサイバーセキュリティリスクを管理することを支援する上で、これらの商用サービスがどれほど効果的であるかについての洞察を求め、他の効果的な商用サービスの例を求めました。 |
| Q11: How effective are the following commercial offerings for managing a supplier’s cyber security risk? | Q11: サプライヤーのサイバーセキュリティリスクを管理する上で、以下の商用サービスはどの程度効果的ですか? |
| Figure 4: Effectiveness of commercial offerings for managing a supplier’s cyber security risk | 図4:サプライヤーのサイバーセキュリティリスクを管理するための商用サービスの有効性 |
| Industry cyber security certification schemes were seen to be the most effective, with 87% of respondents to this question stating that these are very effective or somewhat effective. A third of respondents thought certification schemes are very effective (34%). The commercial offerings that were seen to be next most effective were platforms for supporting supplier risk (82% said these are very or slightly effective, with 27% thinking these are very effective). | 業界のサイバーセキュリティ認証制度が最も効果的であると考えられており、この質問の回答者の87%が「非常に効果的」または「やや効果的」と回答しています。回答者の3分の1は、認証制度が非常に有効であると考えていました(34%)。次に効果があると考えられたのは、サプライヤーのリスクをサポートするプラットフォームでした(82%が「非常に効果がある」または「やや効果がある」と答え、27%が「非常に効果がある」と考えています)。 |
| Around seven in ten respondents to this question thought that each of the following are effective in helping organisations to manage a supplier’s cyber security risk: risk, supply chain and management consultancies (72%), supply chain management system providers (70%) and private supplier assurance (68%). Suppliers of outsourced procurement services were seen to be the least effective of the commercial offerings (55%), with only 9% thinking that they are very effective. | この質問に対する回答者の約10人に7人は、サプライヤーのサイバーセキュリティリスクを管理する上で、リスク・サプライチェーン・マネジメントコンサルタント会社(72%)、サプライチェーンマネジメントシステムプロバイダー(70%)、民間サプライヤーアシュアランス(68%)が効果的だと考えています。アウトソーシングされた調達サービスのサプライヤーは、最も効果的ではないと考えられており(55%)、非常に効果的であると考えているのはわずか9%でした。 |
| Q12 What additional commercial offerings, not listed above, are effective in supporting organisations with supplier risk management? (suggestions provided by 59 respondents) | Q12 上記以外で、組織のサプライヤーリスク管理を支援するのに有効な商材は何ですか? (59人の回答者からの提案) |
| Call for Views respondents were asked about any further commercial offerings that they believe are effective in supporting organisations with supplier risk management. Most commonly, respondents provided examples of other platforms for supporting risk management. Examples of other platforms included: | 意見募集の回答者には、サプライヤーリスク管理で組織をサポートするのに効果的だと思われる、その他の商業的提供物について尋ねた。最も多かったのは、リスク管理を支援するための他のプラットフォームの例でした。その他のプラットフォームの例としては |
| Procurement and onboarding tools used to automate processes like vendor assessment, security questionnaires, and completing contracts | ベンダー評価、セキュリティアンケート、契約書作成などのプロセスを自動化するための調達・オンボーディングツール |
| Vulnerability rating and monitoring tools which can draw on open source intelligence data and dark web scanning to assess the risk of different suppliers | オープンソースの情報データやダークウェブのスキャンを利用して、さまざまなサプライヤーのリスクを評価することができる脆弱性評価・監視ツール |
| Supply chain management platforms that help give organisations visibility over their supply chains and the associated risks (including cyber security risk) | サプライチェーンを可視化し、関連するリスク(サイバーセキュリティリスクを含む)を把握するためのサプライチェーンマネジメントプラットフォーム |
| More general governance and risk management platforms used to manage and provide accountability for identified risks | 特定されたリスクを管理し、説明責任を果たすための、より一般的なガバナンスおよびリスク管理プラットフォーム |
| While there is clearly a growing market of commercial products to support supply chain risk management, responses also reflected challenges posed by this diversity, by crossover between different products and the functions they fulfil, as well as concerns about the efficacy of different tools. There was a general consensus that while technology platforms and other commercial offerings could assist in the management of supply chain cyber security risk, it could not entirely replace the need for organisational understanding of, and engagement with, these risks. | サプライチェーンのリスク管理を支援する商用製品の市場は明らかに拡大していますが、回答には、このような多様性がもたらす課題、異なる製品とそれらが果たす機能の間のクロスオーバー、さらには異なるツールの有効性に対する懸念が反映されていました。テクノロジープラットフォームやその他の商用製品は、サプライチェーンのサイバーセキュリティリスクの管理を支援することができますが、これらのリスクに対する組織の理解や取り組みの必要性を完全に置き換えることはできないというのが、一般的な意見でした。 |
| “Whilst you can outsource (and automate) some of the legwork, number crunching, research, audit and review (very effectively in fact), you cannot "outsource" the need to make it all come together and work effectively - whether you do this using internal staff, or external staff who really understand your business, systems, risk and business drivers.” | 「歩き回る業務、数値計算、調査、監査、レビューの一部を(実際には非常に効果的に)アウトソース(自動化)することはできますが、すべてをまとめて効果的に機能させる必要性を「アウトソース」することはできません。これを社内スタッフで行うか、自社のビジネス、システム、リスク、ビジネス推進要因を本当に理解している外部スタッフで行うかに関わらずです。 |
| Respondents often provided examples of existing certification schemes, standard institutes, accreditation bodies or private supplier assurance providers that were considered effective commercial offerings. These included Cyber Essentials, ISO standards (e.g. 270001), PCI DSS, SOC 2 compliance requirements and voluntary certification schemes approved by the ICO and delivered via United Kingdom Accreditation Service (UKAS) accredited bodies. | 回答者は、既存の認証制度、標準機関、認定機関、民間のサプライヤー保証プロバイダーの中で、商業的に有効と思われるものを例として挙げています。これらの例には、Cyber Essentials、ISO 規格(270001 など)、PCI DSS、SOC 2 コンプライアンス要件、ICO が承認し UKAS(United Kingdom Accreditation Service)認定機関が提供する自主的な認証制度などがあります。 |
| Many mentioned the limitations of the current commercial offerings available, some mentioned the lack of data sharing and intelligence sharing. For example, the lack of platforms for organisations to securely share lessons learned was cited by multiple respondents as a limitation of the commercial technology offerings. Lack of standardisation or centralisation was also considered a limitation of commercial offerings, and some suggested this was an area in which the government should intervene. | 多くの人が、現在提供されている商用製品の限界について言及しており、中にはデータ共有や情報共有の不足について言及している人もいます。例えば、組織が学んだ教訓を安全に共有するためのプラットフォームがないことは、複数の回答者が商用技術の限界として挙げています。また、標準化や集中化の欠如も商用技術の限界と考えられており、これについては政府が介入すべき分野であるという意見もありました。 |
| For some, the international nature of supply chains was seen as a barrier to mandating standards such as Cyber Essentials across the supply chain. For others commercial offerings were thought not to be sufficient, or too numerous to be beneficial. A small number of respondents mentioned cyber insurance as an additional commercial offering that had the potential to support organisations with supply chain risk management. | また、サプライチェーンの国際性が、サイバーエッセンシャルズのような規格をサプライチェーン全体に義務付ける上での障壁になっていると考える人もいました。また、市販されているものでは十分ではない、あるいは数が多すぎて有益ではないと考える人もいました。少数の回答者は、サプライチェーンのリスク管理で組織をサポートする可能性のある追加的な商品として、サイバー保険を挙げていました。 |
| 3.8 Government response | 3.8 政府の対応 |
| The growing market for technology platforms that support organisations to manage supplier risk is seen as a very effective tool. The government is committed to supporting innovation and growth in the development of new products, and is seeing the benefit of this investment. Graduates of DCMS-funded accelerators were some of the supply-chain focussed products cited by respondents as effective commercial offerings, demonstrating the value of government support for this sector. The recently launched Cyber Runway programme will build on this success, offering new cyber security firms business masterclasses, mentoring, product development support, networking events, and backing to trade internationally and secure investment. | 組織のサプライヤーリスク管理を支援するテクノロジープラットフォームの市場が拡大していることは、非常に効果的なツールであると考えられます。政府は、新製品の開発におけるイノベーションと成長を支援することを約束しており、この投資の効果を実感しています。DCMSが資金提供しているアクセラレータの卒業生は、サプライチェーンに焦点を当てた製品の中で、効果的な商用製品として回答者に挙げられており、この分野に対する政府の支援の価値を示しています。最近スタートした「サイバーランウェイ」プログラムは、この成功を基に、新しいサイバーセキュリティ企業にビジネスマスタークラス、メンタリング、製品開発支援、ネットワーキングイベントを提供し、国際的な取引や投資を確保するための支援を行います。 |
| DCMS will continue to work with the NCSC to support and nurture new and existing startups developing solutions to supply chain cyber security risk. NCSC for startups, the successor to the NCSC Cyber Accelerator, will bring together innovative startups with the NCSC’s technical expertise to solve some of the UK’s most important cyber challenges. | DCMSは今後もNCSCと協力して、サプライチェーンのサイバーセキュリティリスクに対するソリューションを開発している新規および既存の新興企業を支援し、育成していきます。NCSC for startupsは、NCSC Cyber Acceleratorの後継となるもので、革新的な新興企業とNCSCの技術的専門性を結びつけ、英国の最も重要なサイバー課題を解決します。 |
| A proliferation of different commercial offerings, although reflective of a dynamic, growing market, appears to be overwhelming for organisations seeking to invest in their cyber security. The government will consider what role it should play in supporting organisations to navigate these choices, which may involve additional guidance to support the consistency and comparability of products and services that can support supply chain cyber security risk management. | さまざまな商用製品が乱立する状況は、ダイナミックに成長する市場を反映しているとはいえ、サイバーセキュリティに投資しようとする組織にとっては圧倒的な存在となっているようです。政府は、サプライチェーンのサイバーセキュリティのリスク管理をサポートする製品やサービスの一貫性と比較可能性を支援するための追加のガイダンスを含む、組織がこれらの選択肢をナビゲートするためにどのような役割を果たすべきかを検討します。 |
| 3.9 E: Additional government support required | 3.9 E: 必要な政府の追加支援 |
| This section of the Call for Views asked respondents to consider how effective a number of government actions would be in supporting and incentivising organisations to manage supply chain risk. | 意見募集のこのセクションでは、組織がサプライチェーン・リスクを管理することを支援し、奨励するために、いくつかの政府の行動がどの程度効果的であるかを検討するよう回答者に求めました。 |
| Q13: How effective would the following government actions be in supporting and incentivising organisations to manage supply chain cyber security risk? | Q13:サプライチェーンのサイバーセキュリティリスクを管理するために組織を支援し、動機付けを行う上で、以下の政府の行動はどの程度効果的ですか? |
| Figure 5: Effectiveness of potential government actions in supporting and incentivising organisations to manage supply chain risk | 図5:サプライチェーンのリスクを管理するために組織を支援し、インセンティブを与える上での潜在的な政府の行動の有効性 |
| More than 80% of respondents stated that each of the five potential government actions to incentivise higher quality of supply chain risk management would be at least somewhat effective. The action that respondents thought would be most effective (95% of responses rated as somewhat or very effective) was additional government support to help organisations know how they can properly manage their cyber security risk. | 回答者の80%以上が、サプライチェーンのリスク管理の質を向上させるための5つの潜在的な政府の行動は、それぞれ少なくともやや効果的であると回答した。回答者が最も効果があると考えた行動(「やや効果がある」または「非常に効果がある」と評価した回答の95%)は、組織がサイバーセキュリティリスクを適切に管理する方法を知るための政府の支援を追加することでした。 |
| The action that gained the most responses for being very effective (58%) was government regulation to make organisations more responsible for their supplier risk management, suggesting that organisations may need stronger levers to ensure they appropriately manage their supplier risk management. | 非常に効果があると回答した人が最も多かったのは(58%)、企業がサプライヤーのリスク管理に 対してより大きな責任を負うようにするための政府規制であり、企業がサプライヤーのリスク管理を適切に行 うためにはより強力な手段が必要であることを示唆しています。 |
| 3.10 Government response | 3.10 政府の対応 |
| Government recognises the need for additional support to help organisations understand how to manage their cyber security risk. There was strong awareness and uptake of existing NCSC guidance among respondents to the Call for Views, but there is more work to be done both in informing the development of new guidance and in awareness raising. The government will continue to invest in awareness raising and uptake of guidance through its Cyber Aware campaign, targeting small businesses in particular as the potential ‘weakest link’ in the supply chain. Government will also seek to raise awareness and uptake of guidance through its targeted engagement with influential market agents, such as investors, banks and insurers that have the potential to drive greater prioritisation of supply chain risk management. | 政府は、組織がサイバーセキュリティリスクを管理する方法を理解するための追加支援の必要性を認識しています。意見募集の回答者の間では、既存の NCSC ガイダンスの認知度と利用率が高かったが、新しいガイダ ンスの開発に関する情報提供と意識向上の両面で、やるべきことはまだあります。政府は、サプライチェーンの中で「最も弱いリンク」となりうる中小企業を特にターゲットとした「Cyber Aware」キャンペーンを通じて、ガイダンスの認知度向上と普及に引き続き投資していきます。また、投資家、銀行、保険会社など、サプライチェーンのリスク管理の優先順位を高める可能性のある影響力のある市場関係者を対象とした取り組みを通じて、ガイダンスの認知度と普及率の向上を図ります。 |
| Regulation was considered ‘very effective’ by more respondents than any other form of government intervention. The government must balance the effectiveness of more forceful interventions with the need for any intervention to be proportionate and ensure that the UK supports innovation and growth. DCMS is currently committed to supporting organisations to manage their cyber security risk through the provision of advice and guidance, promoting a common cyber security baseline through Cyber Essentials, upskilling the UK workforce in cyber skills, and working with industry to encourage organisations to better prioritise supply chain cyber security risk. It is clear however, that the barriers organisations face in managing supply chain cyber security risk may not be overcome by awareness raising and the provision of new guidance alone. Alongside addressing the structural barriers around access to skills and supporting market solutions, DCMS is also exploring more interventionist approaches, but will target these in sectors that are most critical to the resilience of the UK, or which have the potential to pose most supply chain risk across the economy. | 規制は、他のどのような政府介入よりも多くの回答者に「非常に効果的」と評価されました。政府は、より強力な介入の有効性と、どのような介入であっても相応の効果を発揮し、英国がイノベーションと成長を確実に支援する必要性とのバランスを取る必要があります」と述べています。DCMSは現在、アドバイスやガイダンスの提供、Cyber Essentialsを通じた共通のサイバーセキュリティベースラインの推進、英国の労働力のサイバースキルの向上、産業界との協力によるサプライチェーンのサイバーセキュリティリスクの優先順位向上などを通じて、組織がサイバーセキュリティリスクを管理できるよう支援しています。しかし、企業がサプライチェーン・サイバーセキュリティ・リスクを管理する上で直面する障壁は、啓発活動や新しいガイダンスの提供だけでは克服できないことは明らかです。DCMSは、スキルへのアクセスをめぐる構造的な障壁に対処し、市場での解決策を支援すると同時に、より介入的なアプローチも検討していますが、英国の回復力にとって最も重要な分野、あるいは経済全体で最もサプライチェーンリスクを引き起こす可能性のある分野を対象としています。 |
| 4. Call for views part two - Managed Service Providers | 4. 第二部 - マネージドサービス・プロバイダ |
| The second part of the Call for Views examined the role managed service providers play in the UK’s supply chains across the economy, including government and Critical National Infrastructure. Many managed services have become essential to their customers’ operational and business continuity. As the use of managed services has increased, a growing number of cyber threat actors have targeted managed service providers in recent years as a pivot point to access their customers, including UK Critical National Infrastructure. This section sought views on the government’s preliminary proposals for managing the cyber security risks associated with managed service providers. This includes the suitability of a proposed framework for managed service provider security and its possible adoption pathways. | 意見募集の第2部では、政府や重要な国家インフラを含む英国の経済全体のサプライチェーンにおいて、マネージドサービス・プロバイダーが果たす役割について検討しました。多くのマネージドサービスは、顧客のオペレーションやビジネスの継続に不可欠なものとなっています。マネージドサービスの利用が増加するにつれ、近年では、英国の重要国家インフラを含む顧客にアクセスするための要所として、マネージドサービス・プロバイダーを標的とするサイバー脅威アクターが増加しています。このセクションでは、マネージドサービス・プロバイダに関連するサイバー・セキュリティ・リスクを管理するための政府の予備的提案について意見を求めました。これには、マネージドサービス・プロバイダのセキュリティに関するフレームワーク案の適合性と、その採用経路の可能性が含まれます。 |
| 4.1 A: The benefits and risks of managed service providers | 4.1 A: マネージドサービス・プロバイダの利点とリスク |
| The Call for Views stated that the adoption of managed services, including cloud, is regarded as an efficient and cost-effective way to stay up-to-date with rapid technological change, access in-demand skills or expertise, and have flexible, scalable, and high-quality IT services. For this reason, managed service providers were argued to be essential to the functioning of the UK’s economy as they act as key enablers of the UK’s digital transformation. | 意見募集では、クラウドを含むマネージドサービスの導入は、急速な技術変化に対応し、需要のあるスキルや専門知識にアクセスし、柔軟で拡張性のある高品質なITサービスを提供するための効率的で費用対効果の高い方法であると考えられています。このような理由から、マネージドサービス・プロバイダーは、英国のデジタルトランスフォーメーションの主要な実現者として、英国経済の機能に不可欠であると主張されました。 |
| Q14 What additional benefits, vulnerabilities or cyber security risks associated with managed service providers would you outline? (answered by 63 respondents) | Q14 マネージドサービス・プロバイダーに関連する追加の利点、脆弱性、サイバー・セキュリティ・リスクを教えてください。 (回答者数:63名) |
| Respondents were asked whether there are any further benefits, vulnerabilities or cyber security risks associated with managed service providers, in addition to those outlined in the Call for Views. In response, participants highlighted a number of cyber security-related benefits to working with managed service providers. Some gave detailed responses about how working with managed service providers is fundamental to running their business operations and achieving a higher level of security assurance. In particular, these responses cited access to a far higher quality of skills, expertise, technology, processes, accreditation, threat intelligence, and innovation, for instance. | 回答者には、意見募集で挙げられたものに加えて、マネージドサービス・プロバイダに関連する追加的な利点、脆弱性、またはサイバー・セキュリティ・リスクがあるかどうかが尋ねられました。これに対し、参加者は、マネージドサービス・プロバイダーを利用することによるサイバーセキュリティ関連のメリットをいくつか挙げました。一部の参加者は、マネージドサービス・プロバイダーとの連携が、事業運営の基本であり、より高いレベルのセキュリティ保証を実現するものであることを詳細に説明しました。特に、これらの回答では、はるかに質の高いスキル、専門知識、技術、プロセス、認定、脅威情報、イノベーションなどへのアクセスが挙げられています。 |
| Further feedback also indicated that managed service providers have much greater capacity to deploy appropriate resources and capabilities in a manner that is agile, fast and efficient. It is very clear that, for many customers, working with managed service providers is essential to running and improving their cyber security functionalities: | また、マネージドサービス・プロバイダーは、適切なリソースと能力を、俊敏に、迅速に、効率的に展開する能力が高いという意見もありました。多くのお客様にとって、マネージドサービス・プロバイダーとの連携は、サイバーセキュリティ機能の運用と向上に不可欠であることがよくわかります。 |
| “For many businesses running a continuous and expert security operations function is overkill and too costly. [Working with] a managed service provider means [customer organisations] get access to expertise, technology and methodologies and structured processes that it would be impossible for them to have in-house.” [Sic] | 「多くの企業にとって、専門的なセキュリティオペレーション機能を継続的に運営することは過剰であり、コストもかかりすぎます。[マネージドサービス・プロバイダとの連携は、社内では不可能な専門知識、技術、方法論、構造化されたプロセスを利用できることを意味します」。[Sic] 。 |
| Additionally, respondents mentioned economies of scale as another key advantage to the use of managed service providers. There are significant cost benefits for end user organisations in engaging managed service providers that operate at scale. The offer of these services is, therefore, instrumental in driving the UK’s economic growth and resilience: | さらに、回答者は、マネージドサービス・プロバイダを利用するもう一つの主な利点として、規模の経済性を挙げています。エンドユーザー企業にとって、大規模に運営されているマネージドサービス・プロバイダーを利用することは、コスト面で大きなメリットがあります。したがって、これらのサービスを提供することは、英国の経済成長と回復力を促進する上で重要な役割を果たします。 |
| “Clients use Managed Service Providers to understand the technology and threat landscape, and to keep up with the rate and pace of change in technology. Managed Service Providers reduce upfront capital costs. For example, operating a security operations center is extremely expensive and MSPs provide a means of reducing the cost of managing these types of solutions”. | 「クライアントは、技術や脅威の状況を理解し、技術の変化の速度やペースに対応するために、マネージドサービス・プロバイダを利用します。マネージドサービス・プロバイダは、初期の資本コストを削減します。例えば、セキュリティ・オペレーション・センターの運営には非常にコストがかかりますが、MSPはこの種のソリューションの管理コストを削減する手段を提供します」。 |
| Despite these benefits, respondents identified several challenges associated with digital technology providers such as managed service providers. In response to the question on risk, respondents highlighted that managed service providers, as well as cloud and software vendors, can be a key source of supply chain risk to customer organisations: | このようなメリットがある一方で、回答者は、マネージドサービス・プロバイダのようなデジタル・テクノロジー・プロバイダに関連するいくつかの課題を指摘しています。リスクに関する質問では、回答者は、マネージドサービス・プロバイダー、クラウド・ベンダー、ソフトウェア・ベンダーが、顧客企業にとってサプライチェーン・リスクの重要な原因となりうることを強調した。 |
| “The more third parties you allow into your systems the larger you grow your attack surface.” | 「回答者は、マネージドサービス・プロバイダー、クラウドやソフトウェアのベンダーが、顧客企業にとってサプライチェーンの重要なリスク源になり得ることを強調しました。 |
| A number of respondents also pointed to large cloud and managed service providers with wide consumer bases as being a particular source of potential risk because they are often perceived as attractive and high value targets by malicious actors. In terms of criticality, sizable cloud and managed service providers are often used by a larger number of critical UK organisations. This means that an attacker targeting a single, large digital provider could compromise a significant portion of the UK critical infrastructure or economy. | また、多くの回答者は、幅広い消費者基盤を持つ大規模なクラウドやマネージドサービスのプロバイダーは、悪意あるアクターにとって魅力的で価値の高いターゲットと認識されることが多いため、特に潜在的なリスクの原因となると指摘しています。重要度の観点から見ると、大規模なクラウド・マネージドサービス・プロバイダは、英国のより多くの重要な組織に利用されていることが多い。つまり、単一の大規模なデジタルプロバイダを標的とした攻撃者は、英国の重要なインフラや経済のかなりの部分を危険にさらす可能性があるということです。 |
| The input from this consultation and associated industry workshops placed a considerable emphasis on a number of difficulties arising from the relationship between cloud and managed service providers and their customers in terms of managing supply chain risk. A number of respondents, for instance, cited a lack of visibility over the wider supply chain as a particular hindrance to achieving robust cyber security maturity within their own organisations. Several responses also referred to a lack of transparency when it comes to managed service providers or other digital providers’ internal cyber security risk management processes. | 今回のコンサルティングおよび関連する業界ワークショップでは、サプライチェーンリスクの管理という観点から、クラウドおよびマネージドサービス・プロバイダーとその顧客との関係から生じる多くの問題が重視されました。例えば、多くの回答者は、自組織内で強固なサイバーセキュリティの成熟度を達成する上での特別な障害として、広範なサプライチェーンの可視性の欠如を挙げています。また、マネージドサービス・プロバイダやその他のデジタル・プロバイダの内部のサイバーセキュリティ・リスク管理プロセスが透明性を欠いているという回答もありました。 |
| This reflects a key point that was made in industry workshops regarding a notable imbalance of power between UK customers of all sizes and typically larger, often multinational, cloud and managed service providers. Many companies do not feel that they have the resources or power to request information or require, where appropriate, more stringent cyber security practices of their larger digital technology suppliers. In the context of those challenges, a number of participants in the Call for Views workshops called for a higher level of government intervention which would introduce more accountability for larger suppliers: | これは、業界のワークショップで指摘された、英国のあらゆる規模の顧客と、一般的に大規模で多国籍のクラウドやマネージドサービス・プロバイダーとの間の力関係の著しい不均衡を反映しています。多くの企業は、大規模なデジタル技術のサプライヤーに対して、情報提供を求めたり、必要に応じてより厳格なサイバーセキュリティ対策を要求したりするためのリソースや力を持っていないと感じています。こうした課題を背景に、「意見募集」ワークショップの参加者の多くは、大規模なサプライヤーに説明責任を果たすために、政府がより高いレベルで介入することを求めていました。 |
| “We cannot manage the risk from tech multinationals - we do not have a negotiating stance. We need a mechanism for holding Managed Service Providers to account.” | 「私たちは、技術系多国籍企業のリスクを管理することができません。私たちには交渉力がありません。マネージドサービス・プロバイダに責任を負わせる仕組みが必要です」。 |
| The other key risk associated with managed service providers was the lack of an effective assurance standard. Currently, there are very few requirements placed on new managed service providers entering the market. This has resulted in a variable level of cyber security offered by managed service providers operating in the UK. Respondents agreed that an assurance framework providing a minimum standard of cyber security requirements would be beneficial to the cyber security of both customers and suppliers. Many respondents, for instance, pointed to the need for more consistent auditing practices of digital providers in order to standardise cyber security practices across the industry and to provide customers with appropriate levels of assurance. | マネージドサービス・プロバイダに関するもう一つの重要なリスクは、効果的な保証基準がないことでした。現在、新たに市場に参入するマネージドサービス・プロバイダーに課せられる要件はほとんどない。このため、英国で事業を展開するマネージドサービス・プロバイダーが提供するサイバーセキュリティのレベルはまちまちとなっています。回答者は、最低限のサイバーセキュリティ要件を提供する保証フレームワークがあれば、顧客とサプライヤーの両方のサイバーセキュリティにとって有益であることに同意した。例えば、多くの回答者は、業界全体のサイバーセキュリティ対策を標準化し、顧客に適切なレベルの保証を提供するためには、デジタルプロバイダの監査方法をより一貫性のあるものにする必要があると指摘していました。 |
| This perspective was further reflected in the Call for Views workshops in which participants underlined the need for “one certification or audit system that can be applied to all”. In this vein, input from workshops suggested that existing frameworks and standards are often inconsistent across the market. This inconsistency can lead to inadequate security practices for companies engaging digital technology providers such as managed service providers. | このような観点は、意見募集のワークショップでも反映されており、参加者は「すべてに適用できる単一の認証または監査システム」の必要性を強調していました。この観点から、ワークショップでは、既存のフレームワークや基準が市場全体で一貫性を欠いていることが示唆されました。この一貫性のなさは、マネージドサービス・プロバイダーなどのデジタルテクノロジープロバイダーを利用する企業のセキュリティ対策を不十分なものにする可能性があります。 |
| “Government should standardise an existing industry framework. Standardised frameworks, approaches and processes are needed - the more international the better.” | 「政府は、既存の業界フレームワークを標準化すべきです。標準化されたフレームワーク、アプローチ、プロセスが必要であり、国際的であればあるほどよい。」 |
| Q15 Are there certain services or types of managed service providers that are more critical or present greater risks to the UK’s security and resilience? (answered by 67 respondents) | Q15 英国のセキュリティとレジリエンスにとって、より重要な、あるいはより大きなリスクをもたらす特定のサービスやタイプのマネージドサービス・プロバイダはありますか? (回答者数:67名) |
| The Call for Views also asked respondents to comment on whether certain services or types of managed service providers were more critical or presented greater risks to the UK’s security and resilience. Many stated that managed service providers associated with critical national infrastructure present the greatest risk to the UK’s cyber resilience. Furthermore, some submissions suggested that the prevalence of a small number of critical cloud and managed service providers across multiple key sectors means that a more stringent approach to these digital providers’ cyber security is necessary. These respondents argued that a higher level of cyber security would ensure not only the security of individual clients, but also the resilience of the UK economy and critical national infrastructure as a whole. | 意見募集では、特定のサービスやタイプのマネージドサービス・プロバイダーが、英国のセキュリティとレジリエンスにとって、より重要であったり、より大きなリスクをもたらすかどうかについても回答を求めました。多くの回答者は、重要な国家インフラに関連するマネージドサービスプロバイダが、英国のサイバーレジリエンスにとって最大のリスクであると述べています。さらに、少数の重要なクラウドおよびマネージドサービスプロバイダが複数の主要セクターにまたがって普及していることから、これらのデジタルプロバイダのサイバーセキュリティに対して、より厳格なアプローチが必要であるとする意見もありました。これらの回答者は、より高いレベルのサイバーセキュリティを実現することで、個々の顧客のセキュリティだけでなく、英国経済や重要な国家インフラ全体の回復力も確保できると主張しています。 |
| In terms of situating this risk, many respondents mentioned that any managed or other digital service provider interacting with critical data or accessing business infrastructure is likely to pose a strong cyber security risk. Further insights stated that any extensive or privileged access to user systems is a possible entry point for an attacker. Providing access to third parties in a way that allows access or storing of organisational data was listed as another risk of relying on digital providers such as cloud or managed service providers. In a similar vein, some respondents noted that, simply by entering a client-supplier relationship, providers of software, cloud and core business services as well as those providers supplying services at scale are likely to expose their customers to greater cyber security risks. | このリスクをどのようにとらえるかについては、多くの回答者が、マネージドサービス・プロバイダやその他のデジタル・サービス・プロバイダが重要なデータにアクセスしたり、ビジネス・インフラにアクセスしたりすることは、強力なサイバー・セキュリティ・リスクを引き起こす可能性が高いと述べています。また、ユーザーシステムへの広範なアクセスや特権的なアクセスは、攻撃者の侵入口となる可能性があるとの意見もありました。クラウドプロバイダーやマネージドサービス・プロバイダーなどのデジタルプロバイダーに依存するもう一つのリスクとして、組織のデータへのアクセスや保存を可能にする方法で第三者にアクセスを提供することが挙げられています。同様に、ソフトウェア、クラウド、コアビジネスサービスのプロバイダーや、大規模にサービスを提供しているプロバイダーは、顧客とサプライヤーの関係に入るだけで、顧客をより大きなサイバーセキュリティリスクにさらす可能性があると指摘する回答者もいました。 |
| 4.2 Government response | 4.2 政府の対応 |
| The responses to the Call for Views have highlighted the complexity of the digital technology services ecosystem, both in the UK and internationally. This complexity, as a number of respondents pointed out, lends itself to the many challenges inherent to the task of defining managed service providers. Many submissions voiced concerns regarding the government’s intention to place additional requirements on an entire UK digital sector. Developing definitions and establishing clear boundaries between various providers of digital technology solutions, including cloud and managed services, remains a challenging task for this government. Furthermore, the same issue has also emerged in discussions with a number of international partners engaged for the purpose of this consultation. | 意見募集への回答は、英国および国際的なデジタル技術サービスのエコシステムの複雑さを浮き彫りにしました。この複雑さは、多くの回答者が指摘したように、マネージドサービス・プロバイダを定義する作業に固有の多くの課題につながっています。多くの回答者は、英国のデジタル部門全体に追加の要件を課そうとする政府の意図に懸念を示しています。クラウドサービスやマネージドサービスを含むデジタル技術ソリューションを提供するさまざまなプロバイダーの間で、定義や明確な境界線を設けることは、本国政府にとって依然として困難な課題です。さらに、今回の協議のために参加した多くの国際的なパートナーとの話し合いでも、同じ問題が浮上しています。 |
| The consultation purposefully used a broad definition of managed service providers to avoid placing the focus on particular types of providers, services, or business sizes. A broad definition also allowed for a wider range of government interventions to be considered within the consultation. As a result, a number of participants supported their submissions with advice outlining differences between managed services and cloud, which in their view should be defined separately. Others flagged, without being prompted, risks associated with other critical digital technology providers such as software vendors. | 今回の協議では、特定のプロバイダーやサービス、企業規模に焦点を当てないよう、マネージドサービス・プロバイダーを広義に定義しました。また、広義の定義にすることで、政府の介入をより広範囲に検討することができました。その結果、多くの参加者が、マネージドサービスとクラウドの違いを説明するアドバイスを提出書類に添えていました。また、ソフトウェアベンダーなどの重要なデジタル技術プロバイダーに関連するリスクを指摘する参加者もいましたが、これについては特に言及されませんでした。 |
| The government recognises that definitions change depending on the context and policy objectives pursued, and will assess what definition is most suitable carefully in any intervention. For example, a wider definition and scope may be appropriate when developing guidance for the industry. However, there may be a rationale for narrowing definitions when introducing additional requirements aimed at those engaging with government procurement. | 政府は、文脈や政策目的によって定義が変わることを認識しており、介入の際にはどのような定義が最も適しているかを慎重に評価します。例えば、業界向けのガイダンスを策定する際には、より広い定義と範囲が適切かもしれません。しかし、政府調達に携わる人々を対象とした追加要件を導入する際には、定義を狭くすることが合理的である場合もあります。 |
| As we seek a common understanding and appropriate language to best represent the diversity of providers of digital technology services, the government will act on consultation feedback and continue work to further refine and distinguish the definitions of cloud and managed service providers. The government will also act on the feedback from industry and international partners who highlighted the systemic importance of some cloud, software and managed service providers and, therefore, the need for further policy prioritisation. | デジタル技術サービスの提供者の多様性を最もよく表すために、共通の理解と適切な表現を求めて、政府はコンサルテーションのフィードバックに基づいて、クラウドとマネージドサービスの提供者の定義をさらに洗練させ、区別する作業を続けます。政府はまた、一部のクラウド、ソフトウェア、マネージドサービス・プロバイダーのシステム的重要性を強調した産業界や国際的なパートナーからのフィードバックにも対応し、さらなる政策の優先順位付けの必要性を訴えます。 |
| In addition, the government recognises the close interaction and the frequent business model overlaps between digital technology providers such as managed service providers, cloud service providers and some software vendors. All of these types of suppliers are endemic third party providers of digital technology services and are an indispensable part of UK and global supply chains. The government therefore agrees that any future policy should consider this broader range of digital technology providers, moving away from an exclusive focus on managed services. | さらに、政府は、マネージドサービス・プロバイダー、クラウドサービス・プロバイダー、一部のソフトウェアベンダーなどのデジタルテクノロジープロバイダーの間には、密接な関係があり、ビジネスモデルが頻繁に重複していることを認識しています。これらのサプライヤーはすべて、デジタル技術サービスの一般的なサードパーティ・プロバイダーであり、英国および世界のサプライチェーンにおいて不可欠な存在です。したがって、政府は、今後の政策において、マネージドサービスのみに焦点を当てるのではなく、より広範なデジタル技術プロバイダーを考慮すべきであることに同意します。 |
| Insights from the Call for Views, associated industry workshops and engagements with international partners have strongly confirmed and further reinforced the government’s understanding that providers of digital technologies such as cloud, managed services and software bring numerous benefits to the UK economy. The input from the consultation unambiguously emphasises the positive and critical role that cloud and managed service providers play in building the UK economy and delivering public services. They also play a fundamental role in building cyber security and resilience in the UK. | 意見募集、関連する業界のワークショップ、国際的なパートナーとの関わりから得られた知見は、クラウド、マネージドサービス、ソフトウェアなどのデジタル技術のプロバイダーが英国経済に多くの利益をもたらすという政府の理解を強く裏付け、さらに強化するものでした。今回のコンサルテーションでは、クラウドやマネージドサービスのプロバイダーが、英国経済の構築や公共サービスの提供において、積極的かつ重要な役割を果たしていることが明確に強調されました。また、クラウドおよびマネージドサービス・プロバイダーは、英国のサイバーセキュリティとレジリエンスの構築においても基本的な役割を果たしています。 |
| The government recognises the Call for Views was too narrowly focussed on risks associated with this industry. As such, the government aims to further underline that providers of cloud and managed services are vitally important net contributors to, and critical enablers of, the modern UK economy. These digital providers deliver essential business solutions and have become a business necessity to the great majority of organisations in the UK. | 政府は、意見募集がこの業界に関連するリスクに焦点を絞りすぎていたことを認識しています。そのため、政府は、クラウドおよびマネージドサービスのプロバイダーが、現代の英国経済にとって極めて重要な貢献者であり、重要な実現者であることをさらに強調することを目指しています。これらのデジタルプロバイダーは、必要不可欠なビジネスソリューションを提供しており、英国の大多数の組織にとってビジネス上の必需品となっています。 |
| While these providers of digital solutions such as cloud and managed services have an important role to play in improving security and resilience among UK organisations, the consultation feedback confirms that they present a certain level of risk. This reflects the challenges currently facing the government in the broader digital regulation landscape. As has been outlined in the government’s Plan for Digital Regulation, resilience and security are both key factors in driving prosperity and building trust in the UK’s digital economy. | クラウドやマネージドサービスなどのデジタルソリューションを提供するプロバイダーは、英国の組織のセキュリティと回復力を向上させる上で重要な役割を担っていますが、コンサルテーションのフィードバックでは、これらのプロバイダーには一定のリスクがあることが確認されています。これは、より広範なデジタル規制の状況において政府が現在直面している課題を反映しています。政府のPlan for Digital Regulation(デジタル規制のための計画)で説明されているように、レジリエンスとセキュリティは、英国のデジタル経済の繁栄と信頼の構築を促進するための重要な要素です。 |
| Responses to the Call for Views have highlighted a systemic dependence on a group of the most critical providers which carry a level of risk that needs to be managed proactively. Other challenges referenced included risks associated with providers having privileged access to customer networks, information systems and business-critical data as well as customers having to depend on the supplied cloud and managed services for business continuity. Input to the Call for Views also accentuated the challenges of effective cyber security risk management within the digital technology services industry, as well as the difference between the customers’ and the suppliers’ perspectives. | 意見募集への回答では、最も重要なプロバイダーのグループにシステム的に依存していることが浮き彫りになりました。その他の課題としては、プロバイダーが顧客のネットワーク、情報システム、ビジネスクリティカルなデータに特権的にアクセスすることによるリスクや、顧客が事業継続のために提供されるクラウドやマネージドサービスに依存しなければならないことなどが挙げられています。今回の意見募集では、デジタル技術サービス業界における効果的なサイバーセキュリティ・リスク管理の課題や、顧客とサプライヤーの視点の違いが強調されました。 |
| On the one hand, customers highlighted challenges around information asymmetries and power imbalances, especially when dealing with larger cloud or managed service providers. Many respondents argued, for example, that they cannot make fully informed procurement decisions because it is increasingly difficult to obtain the necessary cyber security assurance from providers who are reluctant to provide information on their cyber security measures or standards they adhere to. This poses a number of business and operational challenges for customers who ultimately bear the risk of cyber security incidents. The allocation of responsibilities, including risk ownership, is further obfuscated by an incorrect perception among certain customers that, by purchasing cloud or managed services, they can conveniently outsource cyber security risk. | 一方、顧客は、特に大規模なクラウドプロバイダーやマネージドサービス・プロバイダーとの取引において、情報の非対称性や力関係の不均衡に関する課題を強調しました。例えば、多くの回答者は、サイバーセキュリティ対策や準拠している基準に関する情報を提供したがらないプロバイダーから、必要なサイバーセキュリティの保証を得ることがますます困難になっているため、十分な情報に基づいた調達の意思決定ができないと主張しています。このことは、サイバーセキュリティ事故のリスクを最終的に負う顧客にとって、ビジネス上および経営上の多くの課題をもたらす。また、クラウドサービスやマネージドサービスを購入すれば、サイバーセキュリティリスクを簡単にアウトソースできるという誤った認識が一部の顧客の間にあるため、リスクオーナーシップを含む責任の分担がさらに難解になっています。 |
| Some suppliers, on the other hand, believe that the greatest cyber security risks come from customers. One of the main risks highlighted in the consultation, for instance, pertains to customers’ inadequate configuration of services, which often results in serious vulnerabilities. Suppliers of managed and cloud services have also stated that some customers procure services incommensurate with their own security risk posture. The main causes include the financial pressures faced by customers of digital technology services operating on thin profit margins. Many of these customers seek the cheapest solutions or have an inaccurate understanding of the organisational risk picture. | 一方、サプライヤーの中には、最大のサイバー・セキュリティ・リスクは顧客からもたらされると考えているところもあります。例えば、コンサルテーションで強調されている主なリスクの1つは、顧客によるサービスの不適切な設定に関連しており、その結果、深刻な脆弱性が生じることがよくあります。また、マネージドサービスやクラウドサービスを提供する企業は、一部の顧客が自社のセキュリティリスクの姿勢に見合わないサービスを調達していると述べています。主な原因としては、薄利多売のデジタル技術サービスを利用する顧客が直面している金銭的なプレッシャーが挙げられます。これらの顧客の多くは、最も安価なソリューションを求めたり、組織のリスク像を不正確に理解していたりします。 |
| The government recognises that there is a need to address certain asymmetrical power structures within the market. It is clear that some providers of digital solutions should offer greater levels of assurance, for example, by improving transparency over their cyber security practices. Furthermore, to raise cyber maturity across the market, customers with lower levels of cyber resilience will need to be equipped with the right tools and information to make business- and risk-informed decisions. | 政府は、市場内のある種の非対称な力関係に対処する必要があると認識しています。デジタルソリューションを提供する企業の中には、サイバーセキュリティ対策の透明性を向上させるなど、より高いレベルの保証を提供すべき企業があることは明らかです。さらに、市場全体のサイバー成熟度を高めるためには、サイバーレジリエンスのレベルが低い顧客が、ビジネスとリスクに基づいた意思決定を行うための適切なツールと情報を備える必要があります。 |
| 4.3 B: Securing the provision of managed services | 4.3 B: マネージドサービスの提供の確保 |
| The government is working to identify frameworks to assure that the most critical managed service providers achieve a common, baseline level of security in alignment with current standards and regulatory requirements. This is important given the diversity of the managed service provider industry and the already-complex domestic and international landscape of cyber security standards. | 政府は、最も重要なマネージドサービスプロバイダが、現行の基準や規制要件に沿った共通のベースラインレベルのセキュリティを達成することを保証するためのフレームワークの特定に取り組んでいます。これは、マネージドサービスプロバイダ業界の多様性と、サイバーセキュリティ基準に関する国内外の状況がすでに複雑であることを考えると、重要なことです。 |
| A future managed service provider security framework | 将来のマネージドサービスプロバイダのセキュリティフレームワーク |
| The Call for Views asked respondents whether the NCSC’s Cyber Assessment Framework would be an appropriate framework for addressing managed service provider cyber security by providing a common set of minimum security standards. Respondents were also asked to identify any additional principles that they believe should be incorporated into a future managed service providers framework. | 意見募集では、NCSCのサイバーアセスメントフレームワークが、共通の最低セキュリティ基準を提供することで、マネージドサービスプロバイダのサイバーセキュリティに対処するための適切なフレームワークとなるかどうかを回答者に尋ねました。また、回答者には、将来のマネージドサービス・プロバイダのフレームワークに取り入れるべきだと考える追加の原則を特定するよう求めました。 |
| Q16: When considering the 14 Cyber Assessment Framework principles, how applicable is each principle to the cyber security and resilience considerations associated with managed service providers? | 質問16:サイバーアセスメントフレームワークの14の原則を考慮した場合、各原則はマネージドサービス・プロバイダーに関連するサイバーセキュリティとレジリエンスの検討にどの程度適用できますか? |
| Figure 6: Applicability of Cyber Assessment Framework Principles to the cyber security and resilience considerations associated with managed service providers | 図6:サイバーアセスメントフレームワークの各原則の、マネージドサービス・プロバイダーに関連するサイバーセキュリティと耐障害性の検討事項への適用性 |
| The 14 Cyber Assessment Framework principles were all deemed to be completely or somewhat applicable to cyber security and resilience considerations associated with managed service providers by at least 96% of respondents, with all 14 principles perceived as being “Completely Applicable” by at least 70% of respondents. The categories deemed most applicable were “Data Security” and “System Security”. Overall, this indicates that the Cyber Assessment Framework, or a framework based on it, should form the future security baseline for managed service providers. The Cyber Assessment Framework would also be considered appropriate based on the feedback from participants in industry workshops. Many of these participants underlined the need for a standardised, flexible (outcomes-based) and simplified security baseline that is accessible to businesses of all sizes and reflects the criticality of managed service provider cyber resilience. | サイバーアセスメントフレームワークの14の原則は、96%以上の回答者が、マネージドサービス・プロバイダーに関連するサイバーセキュリティとレジリエンスの考慮事項に完全にまたはある程度当てはまると考えており、14の原則すべてが70%以上の回答者によって「完全に当てはまる」と認識されています。最も当てはまると考えられたカテゴリーは、「データセキュリティ」と「システムセキュリティ」でした。このことから、マネージドサービス・プロバイダの将来のセキュリティ・ベースラインは、「サイバーアセスメントフレームワーク」またはそれをベースにしたフレームワークであると考えられます。また、業界のワークショップに参加した人たちからのフィードバックによれば、サイバーアセスメントフレームワークは適切であると考えられます。これらの参加者の多くは、あらゆる規模の企業が利用でき、マネージドサービス・プロバイダーのサイバーレジリエンスの重要性を反映した、標準化された、柔軟性のある(成果ベースの)シンプルなセキュリティベースラインの必要性を強調していました。 |
| Q17 Can you identify other objectives or principles that should be incorporated into a future managed service provider security framework? (answered by 52 respondents) | Q17 将来のマネージドサービスプロバイダのセキュリティフレームワークに組み込まれるべき他の目的や原則を特定できますか? (回答者数:52名) |
| Respondents were subsequently asked whether they could identify any other objectives or principles that they believe should be incorporated into a future managed service providers security framework. Many responses included suggestions that are already covered by the existing 14 principles in the Cyber Assessment Framework. Some suggested other objectives or principles that could be further considered: | 続いて、将来のマネージドサービスプロバイダのセキュリティフレームワークに組み込まれるべきだと思われる他の目的や原則を特定できるかどうかを尋ねました。多くの回答には、サイバーアセスメントフレームワークの既存の14の原則ですでにカバーされている提案が含まれていました。一部の回答者は、さらに検討すべき他の目的や原則を提案しました。 |
| The addition of prescriptive requirements: The recommendation included stipulating more specific requirements which could be achieved by identifying particular measures, tools or processes that companies should follow. Some respondents further suggested that the framework (14 principles) should be prescriptive. | 規範となる要件の追加。この提言には、企業が従うべき特定の対策、ツール、またはプロセスを特定することで達成できる、より具体的な要件を規定することが含まれています。さらに、フレームワーク(14の原則)を規定的なものにすべきだという意見もありました。 |
| Formal certification with auditing: Some respondents suggested adding a requirement for managed service providers to engage external auditors to assess their compliance with the framework rather than relying on self-assessment. | 監査を伴う正式な認証。一部の回答者からは、マネージドサービス・プロバイダーは、自己評価に頼るのではなく、外部の監査人にフレームワークへの準拠を評価してもらうという要件を追加することが提案されました。 |
| An obligation to report incidents: There was a proposal to require providers to report incidents or breaches to the relevant competent authority in a timely manner. | インシデントの報告義務。プロバイダに対して、インシデントや違反を関連する所轄官庁にタイムリーに報告することを義務付ける案がありました。 |
| Improved or mandatory testing: Some recommended that there should be regular testing of incident response and recovery. | テストの改善または義務化。インシデント対応と復旧に関する定期的なテストを行うべきだという意見がありました。 |
| Metrics on severity of incidents: Some proposed including metrics on the frequency and severity of incidents, which would help to guide risk decisions. | インシデントの重大性に関する評価指標。インシデントの頻度と重大性に関する指標を含めることを提案する者もいました。これは、リスクに関する意思決定の指針となる。 |
| Role of individuals: Feedback included suggestions to appoint individuals responsible for cyber security or a requirement that someone within the organisation hold a cyber security qualification. | 個人の役割。フィードバックの中には、サイバーセキュリティに責任を持つ個人を任命することや、組織内の誰かがサイバーセキュリティの資格を持っていることを要件とすることなどの提案がありました。 |
| 4.4 Government response | 4.4 政府の対応 |
| The government recognises very strong industry support for the application of the Cyber Assessment Framework principles in the context of managed service providers’ cyber resilience. The government will act on this feedback by committing to a further consideration of the Cyber Assessment Framework principles when establishing any future security baseline or assurance frameworks for the managed services industry or, where appropriate, other providers of digital technology services. | 政府は、マネージドサービス・プロバイダーのサイバーレジリエンスにサイバーアセスメントフレームワークの原則を適用することについて、業界から非常に強い支持を得ていることを認識しています。政府はこのフィードバックを受けて、マネージドサービス業界や、必要に応じて他のデジタル技術サービスの提供者のために、将来的にセキュリティベースラインや保証フレームワークを構築する際には、サイバーアセスメントフレームワークの原則をさらに検討することを約束します。 |
| The government further recognises alternative principles could be incorporated into, or become a supplement to, the NCSC’s Cyber Assessment Framework to help address cyber security risks associated with digital providers and their customers. Examples of these principles include formal certification with auditing, obligation to report incidents as well as customer transparency and cooperation specification (to help mitigate against the lack of transparency highlighted by respondents as a key barrier to managing suppliers). | さらに政府は、デジタル・プロバイダーとその顧客に関連するサイバー・セキュリティ・リスクに対処するために、NCSCのサイバー・アセスメント・フレームワークに代替原則を組み込んだり、補完したりすることができると認識しています。これらの原則の例としては、監査を伴う正式な認証、インシデントの報告義務、顧客の透明性と協力体制の指定(回答者がサプライヤーを管理する上での主要な障壁として強調した透明性の欠如を軽減するのに役立つ)などがあります。 |
| 4.5 C: Implementation options | 4.5 C: 実施オプション |
| The government has undertaken an early scoping of policy implementation options intended to incentivise an uptake of any future industry security baseline and to drive good cyber security practices more broadly. The government’s preliminary policy options are outlined below, and described in more detail in the Call for Views. | 政府は、将来の業界セキュリティベースラインの採用を奨励し、より広範に優れたサイバーセキュ リティ慣行を推進することを目的とした、政策実施オプションの初期のスコーピングを行った。政府の予備的な政策オプションの概要は以下のとおりであり、詳細は意見募集に記載されています。 |
| Developing education and awareness campaigns aimed at managed service providers’ customers. | マネージドサービス・プロバイダの顧客を対象とした教育・啓発キャンペーンの展開 |
| Establishing a certification or assurance mark to guide customers in procuring Managed Services. This could be based on an existing standard, such as the Cyber Assessment Framework. | 顧客がマネージドサービスを調達する際の指針となる認証または保証マークを制定します。これは、Cyber Assessment Frameworkのような既存の基準に基づいているかもしれません。 |
| Setting minimum requirements in public procurement. | 公共調達における最低要件の設定 |
| Developing new or updated legislation to incentivise the uptake of security standards and, where necessary, to hold managed service providers and their customers accountable for security outcomes. | セキュリティ基準の導入を奨励し、必要に応じてマネージドサービスプロバ イダとその顧客にセキュリティ成果の責任を負わせるための新規または更新された法律を策定します。 |
| Creating a set of targeted regulatory guidance to support Critical National Infrastructure sector regulators in overseeing and managing risks associated with managed service providers. | 重要な国家インフラ部門の規制当局がマネージドサービスプロバイダに関連するリスクを監督・管理することを支援するための、対象となる規制ガイダンスを作成します。 |
| Developing joined-up approaches internationally to managing Managed Service Provider security issues. | マネージドサービス・プロバイダのセキュリティ問題を管理するために、国際的に連携したアプローチの開発 |
| Q18: How effective would each of these options be in promoting uptake of a future framework for Managed Service Provider cyber security and resilience? | Q18: マネージドサービス・プロバイダのサイバー・セキュリティとレジリエンスのための将来のフレームワークの採用を促進するために、これらの選択肢はそれぞれどの程度効果的ですか? |
| Respondents were asked how effective they thought each of these options would be in promoting the uptake of a future framework for managed service provider cyber security and resilience. | 回答者には、マネージドサービス・プロバイダのサイバーセキュリティとレジリエンスのための将来のフレームワークの取り込みを促進するために、これらの選択肢のそれぞれがどの程度効果的であると思うかを尋ねました。 |
| Figure 7: Perceived effectiveness of options in promoting uptake of a future framework for Managed Service Provider cyber security and resilience | 図7:マネージドサービスプロバイダのサイバーセキュリティと耐障害性のための将来のフレームワークの取り込みを促進するためのオプションの認知された効果 |
| All of the six options suggested for promoting a future managed service provider cyber resilience framework were considered to be at least somewhat effective by 82% of respondents or more. The options with the higher proportion (more than 60%) of “very effective” responses were: “setting minimum requirements in public procurement”, “developing joined-up approaches internationally to manage managed service provider security issues”, and “creating a set of targeted regulatory guidance to support critical national infrastructure sector regulators.” | 将来のマネージドサービスプロバイダのサイバーレジリエンスのフレームワークを促進するために提案された6つのオプションのすべてが、82%以上の回答者によって少なくともある程度の効果があるとみなされました。非常に効果的」と回答した割合が60%以上と高かった選択肢は以下の通り。非常に効果的」と回答した割合が高かった選択肢は、「公共調達における最低要求事項の設定」、「マネージドサービスプロバイダのセキュリティ問題を管理するための国際的に連携したアプローチの開発」、「重要な国家インフラ部門の規制当局を支援するための対象となる規制ガイダンスの作成」でした。 |
| Respondents were also invited to explain their reasoning for why these options would be effective or ineffective and to comment on alternative ways in which the government could act to drive cyber security maturity across the industry. Explanations or suggestions were provided by 62 respondents. Comments on the potential effectiveness of each option are summarised below: | 回答者には、これらの選択肢が有効または無効である理由を説明し、業界全体のサイバーセキュリティの成熟度を高めるために政府ができる別の方法についてもコメントしてもらいました。62人の回答者から説明や提案がありました。各選択肢の潜在的な有効性に関するコメントを以下にまとめました。 |
| Developing education and awareness campaigns | 教育・啓発キャンペーンの実施 |
| Some respondents commented that guidance or education campaigns would be needed: “These should be continuous and have always been successful in other government campaigns. They should target businesses to ensure that the Managed Service Providers they are using are credible, have correct due diligence in place and hold formal accreditation.” | 一部の回答者は、ガイダンスや教育キャンペーンが必要であるとコメントしています。「これらは継続的に行われるべきであり、他の政府のキャンペーンでは常に成功しています。これらのキャンペーンは継続的に行われるべきであり、他の政府のキャンペーンでは常に成功しています。企業を対象に、使用するマネージドサービス・プロバイダーが信頼できるか、正しいデューデリジェンスが行われているか、正式な認定を受けているかを確認する必要があります」。 |
| Some commented that education and awareness should be managed by the government or appropriate industry bodies. | また、教育や啓蒙活動は、政府や適切な業界団体が行うべきだという意見もありました。 |
| However, some industry workshop participants highlighted the limitations of guidance suggesting more interventionist solutions may be more effective in driving improvements: “Guidance must be mandatory to be effective.” | しかし、ワークショップの参加者の中には、ガイダンスの限界を強調し、改善を促すためには、より介入的なソリューションの方が効果的であると指摘する人もいました。"ガイダンスが効果的であるためには、強制的でなければならない。" |
| Establishing a certification or assurance mark | 認証・保証マークの制定 |
| Some noted that certification or assurance would be an effective way to encourage a higher standard of cyber security: “Certification or assurance marks, especially when internationally aligned, make it easier for organisations to comply and also ensure that their suppliers are complying.” | 一部の参加者は、より高い水準のサイバーセキュリティを奨励するためには、認証や保証が効果的であると指摘しています。「認証や保証のマークは、特に国際的に統一されたものであれば、組織が遵守することが容易になり、また、サプライヤーが遵守していることを確認することもできます」。 |
| In addition, some noted that certification or assurance should be externally assessed: “Demonstrating that they can fulfil the requirements to be certified is only the start, Managed Service Providers should then be audited.” | さらに、認証や保証は外部から評価されるべきだと指摘する声もありました。「認証を受けるための要件を満たすことを示すことは始まりに過ぎず、マネージドサービス・プロバイダーはその後監査を受けるべきです。 |
| Setting minimum requirements in public procurement | 公共調達における最低要件の設定 |
| A number of submissions asserted that minimum requirements for public procurement would be needed: “Public services, like some other sectors, are high-risk targets, and minimum requirements should be placed on Managed Service Providers [supplying to government].” | 多くの提出物は、公共調達のための最低要件が必要であると主張しています。「公共サービスは、他のいくつかのセクターと同様に、高リスクのターゲットであり、(政府に供給する)マネージドサービス・プロバイダーに最低要件を課すべきです」。 |
| Developing new or updated legislation | 新規または更新された法律の策定 |
| 82% of respondents thought that new or updated legislation would be an effective or a somewhat effective solution, demonstrating a generally positive response to a legislative policy solution | 82%の回答者が、新規または更新された法律が効果的またはやや効果的な解決策になると考えており、立法政策による解決策に概ね肯定的な反応を示しています。 |
| Many of these respondents were of the view that guidance is less effective than legislation because it is not mandatory: “Unless the framework is mandated through contracts or legislation, it will have only a small effect. This is because Managed Service Providers that want to do the right thing and be secure already do that. The ones that do not operate in a secure way will not change their habits with guidance.” | これらの回答者の多くは、ガイダンスは義務ではないため、法律よりも効果が低いと考えています。「契約や法律によってフレームワークが義務付けられていなければ、その効果はわずかなものになるでしょう。というのも、正しいことをして安全性を確保したいと考えているマネージドサービス・プロバイダは、すでにそれを実行しているからだ。安全な方法で運用していないところは、ガイダンスを受けてもその習慣を変えることはないでしょう」と述べています。 |
| While many commented that new or updated legislation would be needed, a few thought this would be unnecessary: “A blanket one-size-fits-all approach to all Managed Service Providers regardless of the nature of their services will not be proportionate or effective (…). A more targeted approach (…) will be preferable in the short to mid term.” | 多くの人が新たな法律の制定や更新が必要だとコメントしている一方で、これは不要だと考える人もいました。「サービスの性質にかかわらず、すべてのマネージドサービス・プロバイダーに一律に対応するアプローチは、妥当でも効果的でもありません(...)。短期的、中期的には、より対象を絞ったアプローチが望ましいでしょう」。 |
| Creating a set of targeted regulatory guidance to support Critical National Infrastructure sector regulators | 重要な国家インフラ部門の規制当局を支援するための対象となる規制ガイダンスの作成 |
| Responses relating to the creation of targeted regulatory guidance to support critical national infrastructure sector regulators most commonly highlighted that regulatory guidance already exists. | 重要な国家インフラ部門の規制当局を支援するための対象となる規制ガイダンスの作成に関する回答は、規制ガイダンスがすでに存在していることを強調するものが多かった。 |
| However, several respondents advised that further work needs to be done with regards to promoting the guidance as some managed service providers may be unaware of existing guidance and, consequently, do not implement it. | しかし、いくつかの回答者は、マネージドサービス・プロバイダーの中には既存のガイダンスを知らず、その結果、ガイダンスを実施していないところもあるため、ガイダンスの普及に関してさらなる作業が必要であると述べています。 |
| Developing joined-up approaches internationally to managing Managed Service Provider security issues | マネージドサービス・プロバイダのセキュリティ問題を管理するための国際的な連携アプローチの開発 |
| Respondents and participants in industry workshops stated that an international approach would be needed to further strengthen the efficacy of UK policy implementation options. Some suggested that existing international standards such as ISO 27001 should be utilised, or new approaches aligned with these: “International standards are key. Managed Service Providers must operate globally to provide the economies of scale that make them competitive.” | 回答者および業界ワークショップの参加者は、英国の政策実施オプションの有効性をさらに強化するためには、国際的なアプローチが必要であると述べています。また、ISO 27001のような既存の国際規格を利用するか、それに沿った新しいアプローチをとるべきだという意見もありました。「国際標準が鍵となる。マネージドサービス・プロバイダは、競争力を高めるスケールメリットを提供するために、グローバルに事業を展開する必要がある」。 |
| Collaborative responses and information sharing, for example by multilateral country groups or initiatives, was also suggested: “How can you regulate these big international organisations? (…) Effective solutions are required at an international level with support of the US.” | また、多国間のグループやイニシアティブなどによる協力的な対応や情報共有も提案されました。(米国の支援を受けながら、国際的なレベルで効果的な解決策を講じる必要がある」。 |
| Other suggestions for policy implementation options included encouraging joined-up working domestically through initiatives such as industry working groups; improving awareness and the structure of the NCSC’s guidance to ensure more widespread uptake; and the publication of benchmarks for organisations to refer to. | その他の政策実施案としては、業界のワーキンググループなどを通じて国内での連携を促進すること、NCSCのガイダンスがより広く浸透するように認知度や構成を改善すること、組織が参考にできるベンチマークを公表することなどが挙げられました。 |
| Respondents to the survey and participants in associated workshops also pointed out that companies of different sizes and criticalities have different needs and capabilities. This suggests that a universal approach to cyber security for all managed service providers - or other digital technology providers like cloud or software vendors - would reflect neither the different levels of resources that companies have available to them, nor the varied levels of cyber security risk that different types and sizes of companies pose to the UK economy. | また、アンケートの回答者や関連ワークショップの参加者は、企業の規模や重要性が異なれば、ニーズや能力も異なることを指摘しています。このことは、すべてのマネージドサービス・プロバイダ、あるいはクラウドやソフトウェア・ベンダのような他のデジタル技術プロバイダに対して、サイバー・セキュリティに対する普遍的なアプローチをとることは、企業が利用できるリソースのレベルの違いや、企業の種類や規模によって英国経済にもたらすサイバー・セキュリティ・リスクのレベルの違いを反映しないことを示唆しています。 |
| 4.6 Government response | 4.6 政府の対応 |
| The government recognises that a range of audience-specific interventions will be needed when addressing challenges associated with the diverse and rapidly evolving digital technologies market. This approach will ensure that different types, sizes and criticalities of digital technology suppliers and their customers will all be accounted for. | 政府は、多様で急速に進化するデジタル技術市場に関連する課題に対処するためには、様々な視聴者固有の介入が必要であると認識しています。このアプローチにより、デジタル技術サプライヤーとその顧客の種類、規模、重要性の違いがすべて考慮されることになります。 |
| The government will take into account the positive reception to all policy options suggested in the Call for Views to help address the supply and demand side of the digital technology services market. Of the options listed in the consultation, the government is currently prioritising legislative work and international engagement to promote international cooperation, including evidence sharing at both a bilateral and multilateral level. However, the government recognises the need for a concerted effort to comprehensively address the cyber security resilience within the digital services industry and its customers. | 政府は、デジタル技術サービス市場の需要と供給に対処するため、意見募集で提案されたすべての政策オプションに対する好意的な反応を考慮します。諮問に挙げられた選択肢のうち、政府は現在、二国間および多国間レベルでの証拠の共有を含む国際協力を促進するための立法作業と国際的な関与を優先しています。しかし、政府は、デジタルサービス産業とその顧客におけるサイバーセキュリティの回復力に包括的に対処するための協調的な取り組みの必要性を認識しています。 |
| Legislation and international coordination cannot be viewed as silver bullets to solve the manifold facets of cyber security within this diverse industry. For this reason, the government will continue to collaborate with a wide range of partners, including digital providers, procurers of digital technology services, industry experts and international stakeholders to develop a wide range of policy interventions, building on legislation and international engagement efforts. | 法規制や国際的な調整は、この多様な業界におけるサイバーセキュリティの多様な側面を解決するための銀の弾丸とは見なされません。このため、政府は、デジタルプロバイダ、デジタル技術サービスの調達者、業界の専門家、国際的な利害関係者を含む幅広いパートナーと協力して、法律や国際的な取り組みを基盤とした幅広い政策介入を展開していきます。 |
| 5. Glossary | 5. 用語解説 |
| The following terms are working definitions, developed for the purposes of this publication. These terms should not be considered as final and are not reflective of government policy. If you have any questions or suggestions please contact cyber-review@dcms.gov.uk. | 以下の用語は、本書の目的のために作成された作業用の定義です。これらの用語は最終的なものではなく、政府の政策を反映するものでもありません。ご質問やご提案がございましたら、cyber-review@dcms.gov.uk までご連絡ください。 |
| Critical national infrastructure (CNI) - Critical elements of infrastructure (namely assets, facilities, systems, networks or processes and the essential workers that operate and facilitate them), the loss or compromise of which could result in: | 重要国家インフラ(CNI) - インフラの重要な要素(すなわち、資産、施設、システム、ネットワークまたはプロセス、およびそれらを運用し促進する重要な労働者)で、その損失または危殆化により以下のことが起こりうる。 |
| Major detrimental impact on the availability, integrity or delivery of essential services – including those services whose integrity, if compromised, could result in significant loss of life or casualties – taking into account significant economic or social impacts; and/or | 重要なサービスの利用可能性、完全性、または提供への大きな有害な影響(完全性が損なわれた場合、重大な生命または死傷者の損失につながる可能性があるサービスを含み、重大な経済的または社会的影響を考慮した場合)、および/または |
| Significant impact on national security, national defence, or the functioning of the state. | 国家安全保障、国防、または国家の機能に重大な影響を与えること。 |
| Digital connection - Refers to the use of information technology in the provision of goods and services between procurer and supplier. This may include the transfer of data between an organisation and its suppliers, granting suppliers access to organisations networks and systems, and the outsourcing of critical departments and operations to third parties. | デジタル接続-調達者と供給者の間の商品およびサービスの提供における情報技術の使用を指す。これには、組織とそのサプライヤー間のデータ転送、サプライヤーへの組織のネットワークやシステムへのアクセスの許可、重要な部門や業務の第三者への委託などが含まれます。 |
| Digital supply chains - Refers to all an organisation’s third party vendors which have a digital connection to an organisation, and that vendor’s wider supply chain. | デジタルサプライチェーン:組織とデジタル的なつながりを持つ、組織のすべてのサードパーティベンダーと、そのベンダーの広範なサプライチェーンを指す。 |
| Impact - The consequences of a cyber breach, both to the organisation, and to society. The impact of a cyber breach is often realised as a cost. See Full Cost of Cyber Breaches Study. | 影響 - サイバー侵害が組織と社会に及ぼす影響。サイバー侵害の影響は、多くの場合、コストとして認識されます。詳しくは、「サイバー犯罪のコスト」をご覧ください。 |
| Managed Service Provider - A supplier that delivers a portfolio of IT services to business customers via ongoing support and active administration, all of which are typically underpinned by a Service Level Agreement. A Managed Service Provider may provide their own Managed Services, or offer their own services in conjunction with other IT providers’ services. The Managed Services might include: | マネージドサービス・プロバイダ - 継続的なサポートと積極的な管理により、企業顧客にITサービスのポートフォリオを提供するサプライヤーで、通常はサービス・レベル・アグリーメントによって支えられています。マネージドサービス・プロバイダは、独自のマネージドサービスを提供することもあれば、他のITプロバイダのサービスと組み合わせて独自のサービスを提供することもあります。マネージドサービスには以下のものが含まれます。 |
| Cloud computing services (resale of cloud services, or an in-house public and private cloud services, built and provided by the managed service providers) | クラウド・コンピューティング・サービス(マネージドサービス・プロバイダが構築・提供するクラウド・サービスの再販、または自社のパブリック・クラウドおよびプライベート・クラウド・サービス)。 |
| Workplace services | ワークプレイスサービス |
| Managed Network | マネージドネットワーク |
| Consulting | コンサルティング |
| Security services | セキュリティサービス |
| Outsourcing | アウトソーシング |
| Service Integration and Management | サービスインテグレーション&マネジメント |
| Software Resale | ソフトウェア再販 |
| Software Engineering | ソフトウェア・エンジニアリング |
| Analytics and Artificial Intelligence (AI) | アナリティクスと人工知能(AI) |
| Business Continuity and Disaster Recovery services | 事業継続および災害復旧サービス |
| The Managed Services might be delivered from customer premises, from customer data centres, from an managed service providers own data centres or from 3rd party facilities (co-location facilities, public cloud data centres or network Points of Presence (PoPs)). | マネージドサービスは、お客様の施設、お客様のデータセンター、マネージドサービス・プロバイダーのデータセンター、または第三者の施設(コロケーション施設、パブリッククラウドのデータセンター、ネットワークの接続拠点(PoP))から提供される場合があります。 |
| Supply chain assurance - The process of establishing confidence in the effective control and oversight of an organisation’s supply chain. | サプライチェーン保証 - 組織のサプライチェーンが効果的に管理・監督されているという確信を得るためのプロセス。 |
| Supply chain - The Chartered Institute of Procurement and Supply defines a supply chain as ‘the activities required by an organisation to deliver goods or services to the consumer’[footnote 2]. | サプライチェーン - Chartered Institute of Procurement and Supplyは、サプライチェーンを「商品またはサービスを消費者に届けるために組織が必要とする活動」と定義しています[脚注2]。 |
| Supply chain risk management - All organisations will have a relationship with at least one other organisation and most organisations will be reliant on multiple relationships. Supply chain cyber security risk management is the approach an organisation uses to understand and manage security risks that arise as a result of dependencies on these external external suppliers, including ensuring that appropriate measures are employed where third party services are used. | サプライチェーンのリスクマネジメント - すべての組織は、少なくとも1つの他の組織と関係を持ち、ほとんどの組織は複数の関係に依存しています。サプライチェーン・サイバーセキュリティ・リスク管理とは、第三者のサービスを利用している場合に適切な手段が採用されているかどうかを含め、これらの外部の外部供給者に依存している結果として生じるセキュリティリスクを理解し、管理するために組織が用いるアプローチのことです。 |
| Supplier - Any organisation that supplies goods and/ or services to an organisation that involves establishing a digital connection with the procuring organisation. | サプライヤー-調達組織とのデジタル接続の確立を伴う組織に物品及び/又はサービスを供給するあらゆる組織。 |
| (Cyber) Threat - Malicious attempts to damage, disrupt or gain unauthorised access to computer systems, networks or devices, via cyber means. | (サイバー脅威-サイバー手段を用いてコンピュータシステム、ネットワーク、機器に損害を与え、混乱させ、または不正にアクセスしようとする悪意のある試み。 |
| Threat actor - A person or group involved in an action or process that is characterised by malice or hostile action (intending harm to an organisation) using computers, devices, systems, or networks. Includes cyber criminals, ‘hacktivists’, nation states and terrorist organisations. | 脅威の行為者-コンピュータ、機器、システム、ネットワークを利用して、悪意または敵対的行為(組織に害を及ぼす意図)を特徴とする行動またはプロセスに関与する個人またはグループのこと。サイバー犯罪者、「ハクティビスト」、国家、テロリスト組織を含む。 |
| Vulnerability - A point of weakness and/or possible threat to the supply chain network. | 脆弱性(Vulnerability) - サプライチェーンネットワークの弱点及び/又は脅威となり得る点。 |
| For the purposes of this Call for Views and the government’s current interest in supplier cyber risk management, the scope is limited to digital supply chains. A digital supply chain refers to the supply of digital products and services, the sharing of business critical information or where suppliers have a digital connection to an organisation and that supplier’s wider digitally connected supply chain. The physical security of non-digital assets is also critical to cyber security but not the focus of this publication. ↩ | この意見募集の目的と、サプライヤーのサイバーリスク管理に対する政府の現在の関心から、その範囲はデジタルサプライチェーンに限定されています。デジタル・サプライ・チェーンとは、デジタル製品やサービスの供給、ビジネス上重要な情報の共 有、あるいはサプライヤーが組織とデジタル的に接続している場合や、そのサプライヤーのより広 いデジタル接続のサプライ・チェーンを指す。デジタル以外の資産の物理的なセキュリティもサイバーセキュリティには欠かせませんが、本書の対象ではありません。 |
« 中国通信院 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー | Main | 米国 財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社 コンピューターセキュリティインシデント通知についての最終規則の承認 »
Comments