英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

こんにちは、丸山満彦です。

英国のNational Cyber Security Cnetreが、サプライチェーン・マッピングのガイダンスを公表しています。。。

サプライチェーン・マッピングというのは、

「企業のサプライチェーンに関わるサプライヤーから集めた情報を記録、保存、活用するプロセス」

で、その目的は、

「サプライヤーのネットワークの最新状況を理解し、サイバーリスクをより効果的に管理し、デューディリジェンスを実施すること」

となっている。

SBOMというのも、ソフトウェア開発に関わるサプライチェーンのサプライチェーン・マッピングの一部と言えるんですかね。。。

SCMというのは、重要な概念かもしれませんね。。。

 

● U.K. National Cyber Security Centre

ブログ...

・2023.02.16 New ‘supply chain mapping’ guidance

New ‘supply chain mapping’ guidance	新しい「サプライチェーン・マッピング」ガイダンス
he latest addition to the NCSC’s suite of supply chain guidance is now available.	NCSCの一連のサプライチェーンガイダンスに最新のものが追加された。
Supply chain mapping is the process of recording, storing and using information gathered from suppliers who are involved in a company’s supply chain. Building on our existing supply chain guidance, we’re pleased to announce new guidance that focusses explicitly on this process, aimed at at procurement specialists, risk managers and cyber security professionals.	サプライチェーンマッピングとは、企業のサプライチェーンに関わるサプライヤーから収集した情報を記録、保存、利用するプロセスである。既存のサプライチェーンガイダンスに基づき、調達専門家、リスクマネジメント専門家、サイバーセキュリティ専門家を対象に、このプロセスに明確に焦点を当てた新しいガイダンスを発表することを嬉しく思っている。
Supply chain mapping follo.ws the principles of all good risk management; organisations need to understand the risks inherent in their supply chain, and then introduce security measures that are in proportion to the likelihood (and impact) of those risks materialising. The goal is to have an up-to-date understanding of your network of suppliers, so that cyber risks can be managed more effectively, and due diligence carried out.	サプライチェーンのマッピングは、優れたリスクマネジメントの原則に従う。組織は、サプライチェーンに内在するリスクを理解し、そのリスクが顕在化する可能性（および影響）に比例したセキュリティ対策を導入する必要がある。目標は、サプライヤーのネットワークについて最新の情報を把握し、サイバーリスクをより効果的にマネジメントし、デューディリジェンスを実施することである。
More specifically, the new guidance explains:	具体的には、新しいガイダンスでは次のように説明されている。
・What supply chain mapping is, why it’s important and how it can benefit your organisation	・サプライチェーンマッピングとは何か、なぜ重要か、どのような利点があるか。
・What information it will typically contain	・サプライチェーンマッピングには通常どのような情報が含まれるか
・The role of sub-contractors that your suppliers may use	・サプライヤーが使用する可能性のある下請け業者の役割
・What this means when agreeing contracts	・契約に合意する際の意味
As the the guidance points out, your exact approach will depend upon your organisation's procurement and risk management processes, and the tooling that you have available to you. However, if you’re not sure where you start, we encourage you to read both the supply chain mapping document and also guidance on How to assess and gain confidence in your supply chain cyber security.	ガイダンスが指摘するように、正確なアプローチは、組織の調達とリスクマネジメントのプロセス、および利用可能なツールに依存することになる。しかし、何から始めればよいのかわからない場合は、サプライチェーンマッピングと、「サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法」のガイダンスの両方を読むことをお勧めします。
We’re always looking to improve our guidance, so if you have any feedback please get in touch using our enquiries page.	私たちは、常にガイダンスを改善するために努力している。

 

 

ガイダンス...

・2023.02.16 Mapping your supply chain

Mapping your supply chain	サプライチェーンのマッピング
How organisations can map their supply chain dependencies, so that risks in the supply chain can be better understood and managed.	サプライチェーンにおけるリスクをより良く理解し、マネジメントするために、組織はどのようにサプライチェーンの依存関係をマッピングすることができるのか。
IN THIS GUIDANCE	このガイダンスでは
1.Introduction	1.序文
2.What is supply chain mapping?	2.サプライチェーンマッピングとは？
3.What information should SCM contain?	3.SCMに含めるべき情報とは？
4.Subcontractors in the supply chain	4.サプライチェーンにおける下請け業者
5.Getting started	5.はじめよう
Introduction	序文
This guidance is aimed at medium to large organisations who need to gain confidence or assurance that mitigations are in place for vulnerabilities associated with working with suppliers.	このガイダンスは、サプライヤとの協働に関連する脆弱性に対して、緩和策が実施されていることを確信または保証する必要がある中規模から大規模の組織を対象としている。
Please read in conjunction with the NCSC’s guidance on How to assess and gain confidence in your supply chain cyber security.	NCSCのガイダンス「サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法」とあわせて読むこと。
What is supply chain mapping?	サプライチェーンマッピングとは何か？
Supply chain mapping (SCM) is the process of recording, storing and using information gathered from suppliers who are involved in a company’s supply chain. The goal is to have an up-to-date understanding of your network of suppliers, so that cyber risks can be managed more effectively, and due diligence carried out.	サプライチェーンマッピング（SCM）とは、企業のサプライチェーンに関わるサプライヤーから集めた情報を記録、保存、活用するプロセスである。その目的は、サプライヤーのネットワークの最新状況を理解し、サイバーリスクをより効果的に管理し、デューディリジェンスを実施することである。
Many organisations rely upon suppliers to deliver products, systems, and services. Supply chains are often large and complex, and effectively securing the supply chain can be hard because vulnerabilities can be inherent, introduced or exploited at any point within it. This makes it difficult to know if you have enough protection across the entire supply chain.	多くの組織は、製品、システム、サービスを提供するために、サプライヤーに依存している。サプライチェーンは大規模かつ複雑であることが多く、サプライチェーン内のどの時点でも脆弱性が内在、導入、悪用される可能性があるため、サプライチェーンを効果的に保護することは困難である。このため、サプライチェーン全体にわたって十分な保護がなされているかどうかを知ることは困難である。
Note: SCM follows the principles of all good risk management; organisations need to understand the risks inherent in their supply chain, and then introduce security measures that are in proportion to the likelihood (and impact) of those risks materialising.	組織は、サプライチェーンに内在するリスクを理解し、そのリスクが顕在化する可能性（および影響）に見合ったセキュリティ対策を導入する必要がある。
Benefits of SCM	SCMのメリット
Understanding who your suppliers are, what they provide and how they provide will help you manage the cyber security risks that can arise. Mapping your supply chain allows you to make more informed business decisions based upon risk, specifically:	サプライヤが誰で、何を、どのように供給しているかを理解することは、発生しうるサイバーセキュリティのリスクをマネジメントするのに役立つ。サプライチェーンをマッピングすることで、リスクに基づいて、より多くの情報に基づいたビジネス上の意思決定を行うことができる。
・better insight into the cyber security considerations that could be more easily enforced via contracts	・契約によってより容易に実施できるサイバーセキュリティの考慮事項に対するより良い洞察力
・more prepared to respond to supply chain related cyber incidents	・サプライチェーンに関連するサイバーインシデントに対応する準備ができる。
・the ability to establish repeatable methods so you have confidence in suppliers' security practices, and can build long term partnerships	・再現可能な方法を確立することで、サプライヤのセキュリティ対策に自信を持ち、長期的なパートナーシップを構築できる。
・easier compliance with legal, regulatory and or contractual responsibilities	・法律、規制、または契約上の責任への準拠が 容易になる
・regularly assessing the supply chain will reduce the likelihood of a cyber attack or breach	・サプライチェーンを定期的に評価することで、サイバー攻撃や侵害の可能性を低減することができる。
It is not possible to completely eradicate supply chain attacks. Should a risk materialise, being able to rapidly respond will limit the scope of damage to your organisation.	サプライチェーンへの攻撃を完全に根絶することは不可能である。万が一、リスクが顕在化した場合、迅速に対応することで、組織への被害範囲を限定することができる。
What information should SCM contain?	SCMに含めるべき情報とは？
Gathering information about your suppliers in a consistent manner and storing it in a centralised repository that’s access controlled will ensure it’s easier to analyse and maintain. This ultimately will allow you to better manage the risks, as you’ll have a comprehensive view of the supply chain that is always up to date.	サプライヤーに関する情報を一貫した方法で収集し、アクセス制御された一元的なリポジトリに保存することで、分析と維持が容易になる。これにより、サプライチェーンを包括的に把握し、常に最新の情報を得ることができるため、最終的にはリスクをより適切にマネジメントすることが可能になる。
Typical information that may be of use includes:	代表的な情報としては、以下のようなものがある。
・a full inventory of suppliers and their subcontractors, showing how they are connected to each other	・サプライヤーとその下請け業者の完全なインベントリ、およびそれらが互いにどのように接続されているかを示す。
・what product or service is being provided, by whom, and the importance of that asset to your organisation	・どのような製品やサービスが、誰によって提供されているか、また、組織にとってのその資産の重要性
・the information flows between your organisation and a supplier (including an understanding of the value of that information)	・組織とサプライヤーの間の情報の流れ（その情報の価値についての理解も含む）
・assurance contacts within the supplying organisation	・供給元組織内の保証連絡先
・information relating to the completeness of the last assessment, details of when the next assurance assessment is due, and any outstanding activities	・前回の評価完了に関する情報、次回の保証評価予定日の詳細、未解決の活動内容
・proof of any certifications required, such as Cyber Essentials, ISO certification, product certification	・サイバーエッセンシャル、ISO認証、製品認証など、必要な認証の証明書
Acquiring this information, especially for large organisations with complex supply chains, can be a massive undertaking. The NCSC guidance on How to assess your supply chain cyber security will assist with this task, and can also ensure that supply chain dependencies from new suppliers is captured.	このような情報を取得することは、特に複雑なサプライチェーンを持つ大規模な組織にとっては、大変な作業となる可能性がある。NCSCのガイダンス「How to assess your supply chain cyber security」は、この作業を支援し、新規サプライヤーからのサプライチェーンの依存性を確実に把握することができる。
Note: This information is an attractive target to attackers, so all SCM assets should be held in a secure repository with strong Security Architecture underpinning its design.	注：この情報は攻撃者にとって魅力的なターゲットであるため、すべてのSCM資産は、強力なセキュリティアーキテクチャの設計に裏打ちされた安全なリポジトリに保管する必要がある。
Tools to map suppliers	サプライヤーをマッピングするツール
Information about existing suppliers may already exist in your procurements systems. If there are multiple entry points for suppliers, relevant information will need to be aggregated. Depending on the size of your organisation, it might be beneficial to consider commercial tools which can:	既存のサプライヤーに関する情報は、すでに調達システムの中に存在しているかもしれない。サプライヤーのエントリーポイントが複数ある場合、関連情報を集約する必要がある。組織の規模にもよるが、以下のような商用ツールを検討することが有益であろう。
・reconcile existing supply chain information	・既存のサプライチェーン情報の照合
・help to keep information about supplier assurance up-to-date	・サプライヤーの保証に関する情報を最新に保つ。
・monitor supply chains beyond the initial tier, and identify concentration risk with contractors and sub-contractors	・初期段階以降のサプライチェーンを監視し、請負業者や下請け業者への集中リスクを特定する。
・make it easier to connect with, interact and visualise your supply chain	・サプライチェーンとの連携、相互作用、可視化を容易にする。
Subcontractors in the supply chain	サプライチェーンにおける下請け業者
A vulnerability that exists anywhere within the supply chain, whether in your direct suppliers, or the suppliers that they sub-contract out to, could impact your organisation. For large organisations decisions around the practicality and usefulness of understanding beyond the primary tier should be evaluated, and only the information on direct contractors should initially be captured.	サプライチェーン内のどこかに存在する脆弱性は、直接のサプライヤーであろうと、その下請け先であろうと、組織に影響を与える可能性がある。大規模な組織では、一次サプライヤーを超えて情報を把握することの実用性と有用性を評価し、最初は直接の請負業者に関する情報のみを取得する必要がある。
How far down the supply chain do you need to go? What exactly has been subcontracted, and what is its criticality (taking into consideration the organisation’s risk criteria) ? These questions require some upfront consideration of the need to obtain information vs the cost of acquiring it. You should:	サプライチェーンのどこまでを把握する必要があるか？具体的に何が下請けされているのか、その重要度(組織のリスク基準を考慮)は? これらの質問に対しては、情報取得の必要性と取得コストについて、前もって検討する必要がある。次のことを行う必要がある。
・determine the criticality of the technology, systems and services you use	・使用する技術、システム、サービスの重要性を判断する。
・consider how much effort you are prepared to put into establishing the whole supply chain	・サプライチェーン全体を確立するためにどれだけの労力を費やす用意があるか検討する
・build into the contract terms with your primary suppliers to provide visibility cascading down their supply chains	・一次サプライヤとの契約条件に、サプライヤのサプライチェーンに連鎖して可視性を提供することを盛り込む。
・reassure suppliers how this information is to be used and who will have access to it, as suppliers may be cautious about sharing commercially sensitive information	・サプライヤーは商業的な機密情報の共有に慎重である可能性があるため、この情報の使用方法とアクセス権者をサプライヤーに再確認する。
・use this shared information to understand key shared suppliers that your immediate tier one suppliers are using, highlighting a concentration risk	・この共有情報を利用して、直近のTier1サプライヤーが利用している主要な共有サプライヤーを把握し、集中リスクを浮き彫りにする。
・ensure you consider data supply chains as well (that is, your products may use data from third parties, or even rely upon data from others)	・データのサプライチェーンも考慮する（つまり、貴社の製品が第三者のデータを使用したり、他者のデータに依存したりする可能性がある）。
Contract terms for suppliers and subcontractors	サプライヤーと下請け業者に対する契約条件
The following terms should be considered for contracts with suppliers and subcontractors:	サプライヤーや下請け業者との契約には、次のような条件を考慮する必要がある。
・incident management response and notification time frames for responding to a breach (along with provision of support to the organisation to find the root cause)	・侵害に対応するためのインシデント管理対応と通知の時間枠（根本原因を見つけるための組織へのサポートの提供とともに）。
・ability to audit suppliers/subcontractors (and expected frequency of audits)	・サプライヤーや下請け業者を監査する能力（及び想定される監査の頻度）
・data management (only necessary data may be transferred out of the organisational network)	・データ管理（必要なデータのみを組織のネットワークから転送することができる。）
・data integrity (is data protected via authentication and encryption, will data be segregated if held on a supplier platform?)	・データの完全性（データは本人認証と暗号化で保護されているか、供給業者のプラットフォームで保持する場合、データは分離されているか）。
・management controls for suppliers' access to physical sites, information systems and intellectual property (including the process for ensuring this is kept up to date)	・サプライヤーによる物理的なサイト、情報システム、知的財産へのアクセスに関する管理統制（これが最新に保たれていることを保証するプロセスを含む）。
・any requirements that your direct suppliers should be demanding from their supply chain (as described above)	・直接のサプライヤーがサプライチェーンに求めるべき要件（上記のとおり）
Getting started	はじめよう
Your approach will depend upon your organisation's procurement and risk management processes, and the tooling that you have available to you. The following is a top-level set of priorities for organisations approaching SCM for the first time.	あなたのアプローチは、あなたの組織の調達とリスクマネジメントのプロセス、および利用可能なツールに依存することになる。以下は、初めてSCMに取り組む組織のための、トップレベルの優先事項である。
1. Use existing stores, such as procurement systems, to build a list of known suppliers. Prioritise suppliers, systems, products and services that are critical to your organisation.	1. 調達システムなどの既存ストアを利用して、既知のサプライヤのリストを作成する。組織にとって重要なサプライヤー、システム、製品、サービスの優先順位を決める。
2. Decide what information would be useful to capture about your supply chain.	2. サプライチェーンについて、どのような情報を収集するのが有益かを決定する。
3. Understand how you will store the information securely and manage access to it.	3. 情報をどのように安全に保管し、アクセスを管理するかを理解する。
4. Establish whether you want to collect information about your suppliers' subcontractors, how far down the chain is useful to go.	4. サプライヤーの下請け業者に関する情報を収集するかどうか、サプライチェーンのどこまで調べるのが有益かを決定する。
・Consider using additional services which evaluate your suppliers and provide supplementary information about their cyber risk profile.	・サプライヤーを評価し、そのサイバーリスクプロファイルに関する補足情報を提供する追加サービスの利用を検討する。
・For new suppliers, state upfront within your procurement process what you expect your suppliers to provide.	・新規のサプライヤーに対しては、調達プロセスにおいて、サプライヤーが何を提供することを期待し ているかを前もって表明しておく。
・For existing suppliers, inform them what information you want to capture about them and why, and retrofit information collected from existing suppliers into a centralised repository.	・既存のサプライヤーに対しては、どのような情報を取得したいのか、またその理由を通知し、既存のサプライヤーから収集した情報を一元管理されたレポジトリに導入する。
5. Update standard contract clauses to ensure the information required is provided as standard when initiating working with a supplier.	5. 標準的な契約条項を更新し、サプライヤーとの作業を開始する際に、必要な情報が標準的に提供されるようにする。
6. Define who is best placed in your organisation to use this information; this might include procurement, business owners, cyber security and operational security teams. Make them aware of the information store and provide access.	6. 組織内でこの情報を使用するのに最適な人物を定義する。これには、調達、ビジネスオーナー、サイバーセキュリティ、運用セキュリティの各チームが含まれる場合がある。このような人たちに、情報保管庫の存在を知らせ、アクセスできるようにする。
7. Consider creating a playbook to deal with situations where an incident occurs and you may need to co-ordinate effort across both the extended supply chain, and third parties such as law enforcement, regulators and even customers. A useful Supply Chain scenario can be found in the NCSC Exercise in a box service.	7. インシデントが発生し、サプライチェーン全体と、法執行機関、規制当局、さらには顧客などの第三者との間で協調して作業を行う必要がある場合に対処するためのプレイブックを作成することを検討する。サプライチェーンのシナリオは、NCSCのExercise in a boxサービスで見ることができる。
8. Finally, document the steps that will need to change within your procurement process as a result of supply chain mapping. For example, you may need to consider excluding suppliers who cannot satisfactorily demonstrate that they meet your minimum cyber security needs.	8. 最後に、サプライチェーン・マッピングの結果、調達プロセスで変更する必要があるステップを文書化します。例えば、最低限のサイバーセキュリティのニーズを満たしていることを十分に証明できないサプライヤーを排除することを検討する必要があるかもしれない。

 

参考（サプライチェーンに関するトピックスが全て表示されます。。。）

・Supply chain

 

 

 

 

---

 

ここでも紹介されている、「How to assess and gain confidence in your supply chain cyber security
（サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法）」について...

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.18 英国 NCSC ガイダンス サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法 (2022.10.12)