英国 NCSC ガイダンス サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法 (2022.10.12)
こんにちは、丸山満彦です。
英国のサイバーセキュリティセンターが、サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法というガイダンスを公表していました。。。
2020年に公開された NCSCのサプライチェーンの原則 (NCSC’s Supply Chain Principles) を補足するガイダンスという位置付けのようです。。。
● National Cyber Security Centre (NCSC)
発表...
・2022.10.12 (news) NCSC issues fresh guidance following recent rise in supply chain cyber attacks
| NCSC issues fresh guidance following recent rise in supply chain cyber attacks | NCSC、最近のサプライチェーンにおけるサイバー攻撃の増加を受け、新たなガイダンスを発表 |
| Guidance to help organisations assess the cyber security of their suppliers. | 組織がサプライヤーのサイバーセキュリティを評価するためのガイダンス |
| ・New cyber security guidance issued in response to growing trend in supply chain attacks | ・サプライチェーンへの攻撃の増加傾向を受け、新たなサイバーセキュリティ・ガイダンスを発行 |
| ・GCHQ’s National Cyber Security Centre advises organisations to work with suppliers to identify weaknesses and boost resilience | ・GCHQのナショナル・サイバー・セキュリティ・センターが、サプライヤーと協力して弱点を特定し、レジリエンスを高めるよう組織に助言 |
| ・Businesses urged to take action as just over 1 in 10 review the risks posed by immediate suppliers | ・10社に1社の割合で、サプライヤーのリスクを見直すことが求められている。 |
| CYBER security experts have issued a fresh warning over the threat of supply chain attacks following a rise in the number of incidents. | サイバーセキュリティの専門家は、インシデント数の増加を受けて、サプライチェーン攻撃の脅威について新たな警告を発しました。 |
| The National Cyber Security Centre (NCSC) – a part of GCHQ – has today (Wednesday) published new guidance to help organisations effectively assess and gain confidence in the cyber security of their supply chains. | GCHQの一部であるナショナル・サイバー・セキュリティ・センター(NCSC)は、本日(水曜日)、組織がサプライチェーンのサイバーセキュリティを効果的に評価し、信頼を得られるようにするための新しいガイダンスを発表しました。 |
| It follows a significant increase in cyber attacks resulting from vulnerabilities within supply chains in recent years, including some high-profile incidents such as the SolarWinds attack. | これは、近年、サプライチェーンの脆弱性に起因するサイバー攻撃が大幅に増加していることを受けたもので、SolarWinds社の攻撃のような有名な事件も含まれている。 |
| The new guidance is designed to help medium and larger organisations effectively assess the cyber risks of working with suppliers and gain assurance that mitigations are in place. | この新しいガイダンスは、中規模以上の組織が、サプライヤーとの協働によるサイバーリスクを効果的に評価し、緩和策が実施されていることを保証できるよう設計されている。 |
| Supply chain attacks can cause far-reaching and costly disruption, yet the latest government data shows just over one in ten businesses review the risks posed by their immediate suppliers (13%), and the proportion for the wider supply chain is just 7%. | サプライチェーンへの攻撃は、広範囲に及ぶコストのかかる混乱を引き起こするが、政府の最新データによると、直近のサプライヤーがもたらすリスクを検討している企業は10社に1社強(13%)、より広いサプライチェーンではわずか7%となっている。 |
| Ian McCormack, NCSC Deputy Director for Government Cyber Resilience, said: | NCSCの政府サイバーレジリエンス担当副所長であるイアン・マコーマックは、次のように述べている。 |
| “Supply chain attacks are a major cyber threat facing organisations and incidents can have a profound, long-lasting impact on businesses and customers. | 「サプライチェーンへの攻撃は、組織が直面する主要なサイバー脅威であり、事故は企業や顧客に深刻かつ長期的な影響を与える可能性がある。 |
| “With incidents on the rise, it is vital organisations work with their suppliers to identify supply chain risks and ensure appropriate security measures are in place. | 「インシデントが増加する中、組織はサプライヤーと協力してサプライチェーンのリスクを特定し、適切なセキュリティ対策が実施されていることを確認することが極めて重要である。 |
| “Our new guidance will help organisations put this into practice so they can assess their supply chain’s security and gain confidence that they are working with suppliers securely.” | 「我々の新しいガイダンスは、組織がサプライチェーンのセキュリティを評価し、サプライヤーと安全に協働しているという確信を得ることができるよう、これを実践するのに役立つ。 |
| Cyber minister Julia Lopez, said: | サイバー担当大臣のジュリア・ロペス氏は、次のように述べている。 |
| “UK organisations of all sizes are increasingly reliant on a range of IT services to run their business, so it's vital these technologies are secure. | 「英国のあらゆる規模の組織は、事業を運営するためにさまざまなITサービスにますます依存するようになっており、これらの技術が安全であることが極めて重要である。 |
| “I urge businesses to follow this expert guidance from our world-leading National Cyber Security Centre. It will help firms protect themselves and their customers from damaging cyber attacks by strengthening cyber security right across their supply chains.” | 「世界をリードするナショナル・サイバー・セキュリティ・センターの専門的なガイダンスに従うよう、企業に強く求める。本ガイダンスは、サプライチェーン全体のサイバーセキュリティを強化することで、企業が有害なサイバー攻撃から自社と顧客を守るのに役立つだろう」。 |
| The guidance has been published in conjunction with the Cross Market Operational Resilience Group (CMORG) which supports the improvement of the operational resilience of the financial sector, though the advice is for organisations in any sector. | 本ガイダンスは、金融セクターのオペレーショナル・レジリエンスの向上を支援するCross Market Operational Resilience Group(CMORG)と共同で発表されたが、どのセクターの組織も対象となるアドバイスである。 |
| It aims to help cyber security professionals, risk managers and procurement specialists put into practice the NCSC’s 12 supply chain security principles and follows the government’s response to a call for views last year which highlighted the need for further advice. | これは、サイバーセキュリティの専門家、リスクマネージャー、調達専門家が、NCSCのサプライチェーンセキュリティ12原則を実践するのを支援することを目的としており、昨年行われた意見募集に対する政府の回答で、さらなるアドバイスが必要であることが浮き彫りになったことを受けて作成された。 |
| It describes typical supplier relationships and potential weaknesses that might expose their supply chain to attacks, defines the expected outcomes and sets out key steps that can help organisations assess their supply chain’s security. | 本書では、サプライチェーンが攻撃にさらされる可能性のある典型的なサプライヤーとの関係や潜在的な弱点について説明し、期待される結果を定義し、組織がサプライチェーンのセキュリティを評価するのに役立つ主要なステップを定めている。 |
| In addition to guidance focused on improving supply chain cyber resilience, the NCSC has published a range of advice to help organisations improve their own cyber security. | NCSCは、サプライチェーンのサイバーレジリエンス向上に焦点を当てたガイダンスに加え、組織が自らのサイバーセキュリティを向上させるのに役立つ様々なアドバイスを発表している。 |
| This includes the 10 Steps to Cyber Security guidance, aimed at larger organisations, and the Small Business Guide for smaller organisations. |
これには、大規模な組織を対象とした「サイバーセキュリティへの10ステップ」ガイダンスや、小規模な組織を対象とした「小規模企業向けガイド」などがある。 |
ガイダンスの要約
・[PDF]
ガイダンス
・2022.10.12 (guidance) How to assess and gain confidence in your supply chain cyber security
序文的なもの...
| How to assess and gain confidence in your supply chain cyber security | サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法 |
| Practical steps to help medium to large organisations gain assurance about the cyber security of their organisation's supply chain. | 中規模から大規模の組織が、組織のサプライチェーンのサイバーセキュリティについて確信を得るのに役立つ実践的なステップ。 |
| This guidance describes practical steps to help organisations better assess cyber security in their supply chains. It’s aimed at medium to large organisations who need to gain confidence or assurance that mitigations are in place for vulnerabilities associated with working with suppliers. | 本ガイダンスでは、組織がサプライチェーンのサイバーセキュリティをより適切に評価するための実践的なステップを説明している。本ガイダンスは、サプライヤとの協働に関連する脆弱性に対して緩和策が講じられていることを確信または保証する必要がある中堅・大規模組織を対象としている。 |
| More specifically, this guidance: | 具体的には、次のような内容である。 |
| ・describes typical supplier relationships, and ways that organisations are exposed to vulnerabilities and cyber attacks via the supply chain | ・典型的なサプライヤーとの関係、およびサプライチェーンを通じて組織が脆弱性やサイバー攻撃にさらされる方法について説明する。 |
| ・defines expected outcomes and key steps to help you assess your supply chain’s approach to cyber security | ・サプライチェーンのサイバーセキュリティへの取り組みを評価するために、期待される成果と主なステップを定義している。 |
| ・answers common questions you may encounter as you work through the guidance | ・ガイダンスを読み進める中で遭遇する可能性のある一般的な質問に回答する。 |
| ・supplements the NCSC’s Supply Chain Principles (published in 2020) which is referenced throughout | ・NCSCのサプライチェーン原則(2020年発行)を補足するもので、全体を通して参照されている。 |
| Note: | 注意事項: |
| For guidance about how to implement cyber security with your own organisation, please refer to the NCSC’s 10 Steps to Cyber Security guidance. Smaller organisations should refer to our Small Business Guide to Cyber Security. | 自組織でサイバーセキュリティを実施する方法については、NCSCの「サイバーセキュリティのための10ステップ」ガイダンスを参照、小規模な組織は、当社の「サイバーセキュリティに関する小規模企業向けガイド」を参照のこと。 |
| Who is this guidance for? | 本ガイダンスは誰のためのものであるか? |
| The guidance is aimed at procurement specialists, risk managers and cyber security professionals wanting to establish (or improve) an approach for assessing the cyber security of their organisation’s supply chain. It can be applied ‘from scratch’, or can build upon any existing risk management techniques and approaches that you may have in use. | 本ガイダンスは、組織のサプライチェーンのサイバーセキュリティを評価するアプローチを確立(または改善)したいと考えている調達専門家、リスクマネジメント担当者、サイバーセキュリティ専門家を対象としている。ゼロから適用することもできるし、既存のリスクマネジメント手法やアプローチを基に構築することもできる。 |
| ・It’s suitable for medium to larger enterprises working in both commercial and public sectors. | ・商業・公共セクターの中堅・大企業に適している。 |
| ・Organisations with complex supply chains requiring multi-year procurement activity will already have an established process in place to secure their supply chain. | ・数年にわたる調達活動を必要とする複雑なサプライチェーンを持つ組織では、サプライチェーンを保護するための確立されたプロセスをすでに持っていることだろう。 |
| This guidance was created in conjunction with the cross market operational resilience group (cmorg) which supports the improvement of the operational resilience of the financial sector through public-private collective action. | 本ガイダンスは、官民の共同行動を通じて金融セクターの業務回復力の向上を支援するクロスマーケット業務回復力グループ(cmorg)と連携して作成されたものである。 |
目次...
おまけ。。。
たまたま、英国のNCSCのサプライチェーン関係の情報を収集していたところ、New ZealandのNCSCが既にサプライチェーンのガイドを2021.04.30に公表していました。。。
● National Cyber Security Centre - NZ
・2021.04.30 Supply Chain Cyber Security: In Safe Hands
・[PDF] Supply Chain Cyber Security
« OECD 国境を越えたデータの流れ -主要な政策とイニシアチブを把握する- (2022.10.12) | Main | 日本産業標準調査会 意見募集 「JISQ15001 個人情報保護マネジメントシステム-要求事項」と「JISX9252 情報技術-オンラインにおけるプライバシーに関する通知及び同意」 »
Comments