マイクロソフトによる情報通信サプライ チェーンの保護のしくみ

  • Article

2017 年 4 月 17 日 - Microsoft Secure Blog スタッフ - マイクロソフト

このポストは「How Microsoft is securing the information and communication supply chain 」の翻訳です。

 

一般的に、重要なインフラストラクチャに対するサプライ チェーンのセキュリティの監視が強化されています。世界中の政府機関がこの問題にますます注目するようになっており、最近策定されたポリシー、または現在策定中のポリシーにもそれが現れています。とはいえ、より一般的なサプライ チェーンの場合と同様に、重要なインフラストラクチャのサプライ チェーンでのリスク管理にも、原則に基づいたリスクベースのアプローチを適用できます。この領域での最も効果的な要件は、さまざまな関係者が関与する共同作業による対話型のオープン プロセスを利用し、専門知識を活用して、各組織を管理することで生まれます。このアプローチの実例の 1 つとして、米国国立標準技術研究所 (NIST) の 「Framework for Improving Critical Infrastructure Cybersecurity」 (重要なインフラのサイバー セキュリティを向上させるためのフレームワーク) が挙げられます。このフレームワークのバージョン 1.1 (現在、パブリック コメントを募集中) には、サプライ チェーンのセキュリティに大きく重点を置いた最新情報が含まれています。

最近、マイクロソフトのウェビナー「Supply chain security: A framework for managing risk」 (サプライ チェーンのセキュリティ: リスク管理のフレームワーク) で、情報通信技術 (ICT) のサプライ チェーンをセキュリティで保護するための手段とポリシーについて、マイクロソフトのリーダーから話を聞きました。本稿では、お客様から寄せられたすばらしい質問とそれに対するマイクロソフトの回答をいくつか紹介します。

マイクロソフトでは、リリースの前後に "レッド チーム (攻撃を仕掛ける側)" による製品のペン テスト (侵入テスト) をどのくらいの頻度で実施していますか?

マイクロソフトの製品やサービスについては、毎年数回ペン テスト イベントが実施されており、その一部はコンペや教育に関するイベントに関連するものです。なかにはハッキング コミュニティに対してオープンなイベントもありますが、その多くは製品やサービスの整合性と可用性を確保するための閉鎖的なイベントです。

 

現在のサプライ チェーンのロジスティクスは、個人情報にほぼリアルタイムでアクセスして、顧客の要望に合わせて製品やサービスを提供できる必要があります。そのような情報の保護についてどのような変化が見られますか?

クラウド ベースの情報保護と、広範にわたるアクセス制御の適用を、一貫性のある自動化された方法で行うことが、今後の最善かつ最も現実的な方法となります。2018 年 5 月 25 日に施行される EU の一般データ保護規則 (GDPR) では、マイクロソフトとマイクロソフトのお客様も含めて、世界中の組織による大きな変革が必要になります。GDPR は、どこに送信され、どこで処理され、どこに保存されるものであっても、個人データを尊重し、保護する方法を統制する、世界的なプライバシー要件におけるパラダイム シフトを示すものです。根本的に、GDPR は個人のプライバシーに関する権利の保護と有効化に関する規則であり、その目的は、ユーザーの信頼を得ることのできるクラウドを提供するためのマイクロソフトの永続的な取り組みと一致するものです。

 

詐欺や不正コピーがますます巧妙化し、その機能が高度化する中で、業界はどのようにして先手を打つのでしょうか?

マイクロソフトにはデジタル犯罪部門があります。これは、サイバー犯罪との闘いに変革をもたらすために連携して活動する、弁護士、捜査官、データ サイエンティスト、エンジニア、アナリスト、ビジネスの専門家から成る国際チームです。将来的には、自動識別のようなメリットが同様の手段によりもたらされ、機械学習によりさらに大規模に実行できるようになるでしょう。

 

顧客から要求があった場合、マイクロソフトは顧客の代わりに外部監査を行うことができますか、また、契約に基づきマイクロソフトのみで、またはベンダーと外部監査を行ったことがありますか (マイクロソフトは、ベンダーのセキュリティ監査を行いますか)?

マイクロソフトはお客様向けに監査サービスを提供していませんが、マイクロソフトの重要なサプライヤー向けにはオンサイトでの評価を行っています。マイクロソフトが "フォース パーティ" サプライヤー (請負業者の下請業者) に対して行うデュー デリジェンスについて、調査委員会から詳しく説明してもらえるのでしょうか。 サプライヤーに対しては、請負業者のみならず、その下請業者も含めて、マイクロソフトの期待事項とセキュリティ要件を契約で明示するようにしています。マイクロソフトが契約を結んだ請負業者に関しては説明責任があるものとし、下請業者を使う場合でも同様です。

 

サプライ チェーンのセキュリティを実装するには、どのように組織を説得すればいいですか?

あなたが政府機関、企業、または消費者に製品やサービスを提供する組織に所属しても、そうでなくても、あなたが提供するものに対する購入者の信頼は、販売において非常に重要になります。サプライ チェーンのリスク管理に対する原則に基づいたアプローチにより、販売するものの品質に対するあなたの取り組みを示すことができるため、購入者の信頼を確立して高めることができます。

 

侵害ポイントに関連する実際の侵害について何らかの統計情報はありますか?

Verizon が毎年発表している「Data Breach Investigations Report」 (データ漏洩/侵害調査報告書) には、いくつかの役立つ報告が含まれています。このレポートのほとんどどこを見ても、フィッシングにおける最大の弱点は人であり、最初に侵害を受けるポイントは簡単なパスワードであることが明らかです。

 

ベンダーが信頼できることを保証するためのマイクロソフトの審査プロセスでは、主にどのような基準が設けられていますか。それらの要件をベンダーが事前に知る方法はありますか?

ある場合、それによってマイクロソフトにリスクが生じる可能性が高くなったり、低くなったりすることはありますか。 ベンダーの研修は、審査と認定に関する一連の指示に対する相互合意を条件として実施されます。それらは、マイクロソフトのニーズと要件に合わせて調整されるため、組織によって異なる場合があります。これらの要件についてベンダーと研修前に議論しておくことが推奨されます。

 

ICT サプライ チェーンをセキュリティで保護するための方法やポリシーの詳細については、ウェビナー「Supply Chain Security: A Framework for Managing Risk」 (サプライ チェーンのセキュリティ: リスク管理のフレームワーク) をオンデマンドでご覧ください。

マイクロソフトのセキュリティに対する戦略的アプローチの詳細については、Microsoft Secure を参照してください。