A.5.21 ICTサプライチェーンにおける情報セキュリティの管理
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.5.21 |
| 分類 | 組織的管理策 |
ICT製品及びサービスのサプライチェーンに関連する情報セキュリティリスクを管理するためのプロセス及び手順を定義し、実施しなければならない。
ICTサプライチェーン全体を通じて、合意されたレベルの情報セキュリティを維持するため。
実施の手引き
Section titled “実施の手引き”ICTサプライチェーンのセキュリティ管理には、以下を含める必要がある。
- ICT製品及びサービスに適用するセキュリティ要件の定義
- 供給者がセキュリティ要件を下流の供給者に伝達することの要求
- ICT製品及びサービスの完全性の検証
- 供給者のセキュリティ慣行の監視
サプライチェーンリスク
Section titled “サプライチェーンリスク”| リスク | 対策 |
|---|---|
| 悪意のあるコードの混入 | コードレビュー、完全性検証 |
| 偽造部品 | 信頼できる供給者からの調達 |
| 脆弱性の伝播 | 脆弱性管理、パッチ適用 |
| 情報漏洩 | 機密保持契約、アクセス制御 |
管理策の実施
Section titled “管理策の実施”- 供給者のセキュリティ評価基準の策定
- 契約におけるセキュリティ要件の明記
- 定期的なセキュリティ監査の実施
- インシデント報告体制の確立
当社における実施状況
Section titled “当社における実施状況”ICTサプライチェーンに関するリスクについては、委託先およびクラウドサービス選定時に、公開されているセキュリティ情報および実績を確認することで評価している。下流供給者に対する個別の監査は実施していないが、利用する範囲を限定することでリスク低減を図っている。
当社では、主要なクラウドサービス(AWS、GCP、Google Workspace等)を利用しており、これらのサービス提供者が公開しているセキュリティ認証(ISO 27001、SOC 2等)および責任共有モデルに基づいて管理を行っている。
-
- 委託管理