This post is also available in: English (英語)
米国国立標準技術研究所(以下、NIST)が公表している「サイバーセキュリティフレームワーク(Cyber Security Framework, CSF) 」は、重要なインフラストラクチャのサイバーセキュリティを向上させるための体系的なガイドラインであり、2014 年 2 月の公開以降、米国だけでなく世界各国のサイバーセキュリティ政策に影響を与えています。
NISTは2018年にフレームワークの改訂版を公開していますが、改訂版で新たに強調しているのがサプライチェーンのリスク管理です。NISTは、弊社のサプライチェーンのリスク管理の実践方法を解説しており(日本語翻訳)、本ブログではそのベストプラクティスを紹介します。
パロアルトネットワークスが実践するサプライチェーンのリスク管理
- 組織的なエンドツーエンドのリスク管理:
弊社では、設計、部品調達、製造、フルフィルメント、サービスといった製品ライフサイクルのすべての段階でサプライチェーンのリスクを特定し、事前に対策を講じることで、製品の品質確保に努めています。また、製品開発ライフサイクルの早い段階でリスク評価を実施することで、製品設計の実現可能性を判断しています。
- 強固なサプライヤー管理:
セキュリティ要件に重点を置いてサプライヤーを管理し、サプライヤーのセキュリティ態勢を充分に把握するための協力関係を構築しています。
- ハードウェアの製造・受注処理の整備:
人員や設備、製品のセキュリティをより管理しやすいように、ハードウェアの製造・受注処理のプロセスを整備しています。実際に、製品のセキュリティを確保するための正しい判断の元、地政学的な影響を定期的に考慮して、サプライヤーや製造拠点を決定しています。
- 官民連携の強化:
サプライチェーンのセキュリティを強化するための提案を行うことを目的とした官民連携の取り組み (米国国土安全保障省の ICT Supply Chain Risk Management Task Forceの執行委員会での役割など)に積極的に参加しています。
- 社内における徹底した連携:
サプライチェーンのリスク管理は、運用部門や製品管理部門をはじめとする企業全体で取り組むチームスポーツといえます。成功を収めるには、社内の徹底した連携が不可欠となります。
多くのグローバルメーカーと同様に、弊社のサプライチェーンも新型コロナウイルス感染症(COVID-19)に伴う諸問題に直面しました。パロアルトネットワークスは、複雑な情報システムをサイバー攻撃から守る重要インフラ企業であるだけでなく、世界中の重要インフラ企業のサプライヤーでもあります。弊社製品をご利用いただいているお客様は、医療、防衛、金融、政府、物流、食品、農業など多岐にわたり、今回のパンデミックへの対応でなくてはならない役割を果たしている重要な企業ばかりです。弊社のリスク管理の真価を証明するために、パンデミックの中においてもセキュリティのニーズに応えられるよう、弊社チームと製造パートナーはサプライヤーと協力してきました。
弊社を含め、社会的な責任を順守する企業はセキュアなサプライチェーンを維持する義務があります。サプライチェーンを含むNISTのフレームワークに準拠した次世代のリスク管理の詳細についてはこちらをご覧ください。