« IPA IoT開発におけるセキュリティ設計の手引き | Main | IPA 「事例調査業務」報告書について(「サイバーインシデントに係る事故調査」機能を整備する上で検討すべき事項や課題等についての検討) »

2022.04.02

IPA クラウドサービスのサプライチェーンリスクマネジメント調査

こんにちは、丸山満彦です。

IPAがクラウドサービスのサプライチェーンリスクマネジメント調査が公表されていますね。。。

 COVID-19の影響もあり、在宅勤務→SaaS利用拡大ということで、、、

SaaSのサプライチェーンのセキュリティ対策について調査し、SaaSのサプライチェーンのインシデント情報の収集と分析および脅威、リスク、今後の課題などを明らかにしましたということのようです。。。

 

SaaS事業者では、リスクの開示と、サービスについてのインシデント対応チーム(PSIRT)が重要となるでしょうね。。。

もちろん、そのためには、SBOMといった話も重要となってくると思います。。。

 

IPA 

・2022.03.30 クラウドサービスのサプライチェーンリスクマネジメント調査

 ・[PDF] 概要説明資料

 ・[PDF] 調査報告書 本文

20220412-51002

目次


1. 本調査の背景と目的 
 1.1. ITサプライチェーンリスクマネジメントに関するこれまでの調査 
 1.2. クラウドサービス活用を取り巻く社会情勢 
 1.3. クラウドサービスの拡大に伴うセキュリティの懸念 
 1.4. 本調査の目的 
 1.5. SaaS事業者が抱える課題の想定 
2. 調査方法 
 2.1. インシデント及び脆弱性情報の調査 
 2.2. インタビュー調査 
3. 調査結果 
 3.1. インシデント及び脆弱性情報調査結果 
 3.2. インタビュー調査結果 
4. 本調査のまとめ 
 4.1. 想定した課題との違い
 4.2. 新たに指摘された課題 
 4.3. 団体・有識者の課題認識 
 4.4. SaaSが抱える脅威・リスク 
 4.5. 今後深堀すべきポイント 
付録 インシデント及び脆弱性情報一覧 


今後深掘すべきポイントについては、次のように整理されています。。。

 

工程 No. 深堀すべきポイント
開発監視対応 1 SaaS事業者の組織としてセキュリティ対策に注力するリソースの不足を、どのように改善させていくか。
開発 2 セキュリテイプラクティスの実践における具体的な設計・実装についての情報の蓄積と蓄積された情報へのSaaS事業者間での共有。
3 SaaSの設計開発におけるセキュアコーディングの実施をどのように推進していくか。
4 SaaS事業者が利用するOSSのメンテナー開発体制の評価方法をどのように確立し、広めていくか。OSS利用に先んじた上記評価の徹底について、どのようにして慣習化する
監視 5 SaaS事業者の、脆弱性肩報や攻撃に対する監視体制をどのように強化し、効率的な監視手法についての情報をどのように広めていくか。
対応 6 SaaS事業者内での、インシデント対応手順作成や問い合わせ先の整理、顧客説明といった平時の準備にどのようなことが必要か。
7 SaaS連携における事業者間での責任範囲の明確化をどのように推進していくか。
8 利用者に起因するインシデントを防止するため、SaaS事業者は利用者に向けてどのような情報を提供していくべきか。
9 個人情報管理に関するセキュリティ対策への積極的な姿勢・SaaS事業者としての立場の明確化といった文化・慣習をどのように形成し、維持していくか。
10 利用者が安心してクラウドービスを利用できるようにするために、Saas事業者はセキュリティ情報をどこまで開示するべきか。
11 SaaS業界を挙けたセキュリティ情報の開示をどのように促進していくか。

 

総務省もSaaSについては色々と進めているので、一緒に検討をすれば良いと思います。特に開示制度については、一般社団法人ASP・SaaS・AI・IoTクラウド産業協会改め(2022.04.01)、日本クラウド産業協会(ASPIC)
が先行して実施しているので、共同でプロモーションをすれば良いと思います。。。


|

« IPA IoT開発におけるセキュリティ設計の手引き | Main | IPA 「事例調査業務」報告書について(「サイバーインシデントに係る事故調査」機能を整備する上で検討すべき事項や課題等についての検討) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« IPA IoT開発におけるセキュリティ設計の手引き | Main | IPA 「事例調査業務」報告書について(「サイバーインシデントに係る事故調査」機能を整備する上で検討すべき事項や課題等についての検討) »