サプライチェーンの安全を確保する

学習の目的

この単元を完了すると、次のことができるようになります。

サプライヤーのサイバーリスクのレベルを評価する組織の責任について説明する。
アプリケーション開発プロセスを保護するために必要となる主なスキルを挙げる。
セキュリティに対するゼロトラストアプローチについて説明する。

このモジュールは世界経済フォーラムの協力の下で作成されています。詳細は、Trailhead のパートナーコンテンツを参照してください。

サプライヤーのサイバーリスクを評価する

このトレイルの「サイバーセキュリティリスクの管理」という最初のモジュールで、ビジネスリーダーのような考え方と、社内外のパートナーシップを築く方法について学習しました。確固たるサイバーハイジーンの実践法、強力な認証の実装、フィッシング攻撃の予防策についても習得しました。このモジュールでは、WEF ガイドの残りの 5 つの原則について説明します。では、サプライチェーンのセキュリティ保護から見ていきましょう。

サードパーティのリスク管理は、多くの最高情報セキュリティ責任者 (CISO) の頭を悩ます問題です。グローバルなサイバーリスクに対する認識についての最近の調査で、ほぼ 50% の企業がハードウェアやソフトウェアサプライヤーのサイバーリスクのレベルを評価していないことが判明しました。リーダーには、どのデータがどのような状況でどのエンティティと共有されるのかについて、常に最新状況を把握しておくことが推奨されます。機密情報の侵害リスクを緩和するために実行できる対策として、次の事項が挙げられます。

ベンダーのバックグラウンドに対するデューデリジェンスを実施する。たとえば、サードパーティの従業員に対するセキュリティチェックの実施を規定します。
サードパーティのアクセスを必要最小限に制限する。サードパーティにはその職務の遂行に必要な情報のみを共有し、情報共有に関する同意書を定期的に見直します。
セキュリティポリシーへの遵守をベンダーに契約で義務付ける。データ共有に関する同意書に、ベンダーが従うべきポリシーと違反した場合の罰則を明記します。
関係の重要性とリスクに基づいて、サードパーティとの関係を定期的に監査して見直すスケジュールを確立する。

プライマリ組織を表す中央の人物から、サードパーティを表す周囲の人々 (それぞれがデータを手にしている) に向けた放射線状の線でつながれた画像

ソフトウェア開発ライフサイクル (SDLC) のセキュリティを確保する

サプライチェーンは、組織の SDLC を構成する重要な要素です。賢明なセキュリティチームは、SDLC のセキュリティを確保するために、最初の時点から開発者が安全なコードを記述できるようにし、プロジェクトや商品開発のライフサイクル全体にセキュリティバイデザインの手法を組み込みます。このアプローチの詳細は、Trailhead の「アプリケーションセキュリティエンジニアの責任」モジュールで学習できます。サイバーセキュリティの賢明なリーダーは、開発ライフサイクルのセキュリティを確保するほか、セキュリティに対するゼロトラストアプローチという概念に基づいて、転送中のすべてのデータを保護する方法も検討します。

セキュリティに対するゼロトラストアプローチを実践する

従来の組織は概して、セキュリティに対して境界ベースのアプローチを実装していました。つまり、組織のネットワークを信頼のおけるゾーンとみなし、その境界にファイアウォールやウイルス対策などの主要なセキュリティ防御策を配置していました。サイバーセキュリティの今日のリーダーは、ゼロトラストアプローチを採用する必要性を認識しています。つまり、組織が独自の「安全」な企業ネットワーク内に存在するからといって安全かつ健全であるとは考えていません。ゼロトラストアプローチでは、データアセットそのものの周囲に対策を講じます。このアプローチの詳細は、Trailhead の「ネットワークセキュリティの計画」モジュールで学習できます。

まとめ

この単元では、組織が機密データをその保存場所に関係なく保護する方法について学習しました。具体的には、サードパーティとの関係を評価して監査し、SDLC のセキュリティを確保して、ネットワークのセキュリティに対するゼロトラストアプローチに移行するという方法で実践します。次は、組織がサイバー脅威を予防して監視し、対応する方法を見ていきます。

サプライチェーンの安全を確保する

学習の目的

サプライヤーのサイバーリスクを評価する

ソフトウェア開発ライフサイクル (SDLC) のセキュリティを確保する

セキュリティに対するゼロトラストアプローチを実践する

まとめ

リソース