ファーウェイ サイバーセキュリティホワイトペーパー（2016年6月）

このホワイトペーパーでは、ファーウェイのサイバーセキュリティシリーズの一環として、サプライチェーンのリスクに焦点を当て、産業界にとってサプライチェーンのセキュリティを確保する重要性、ベストプラクティス、およびファーウェイのアプローチについて紹介します。

ファーウェイのサイバーセキュリティシリーズの4つ目となるこのホワイトペーパーは、サイバーセキュリティのサプライチェーンリスクに焦点を当てています。組織と消費者は、真にグローバルなサプライチェーンから生み出される情報通信技術のメリットを最大限に活用できる必要があります。サプライチェーンリスク管理とは、必要なときに製品とサービスを利用できることを保証するだけでなく、製品が悪意のある者によって侵害されるリスクや、製品が偽造されたり、不正な目的に利用される可能性のある偽造部品が含まれたりするリスクを最小限に抑える製品ライフサイクルアプローチを意味します。

サプライチェーンリスクは、組織が成功するためには理解し、管理しなければならないリスクの1つです。組織は、リスクを全社的に処理するために必要な措置を実施しなければ、サプライチェーンリスクに適切に対処できません。個々の組織がリスク管理を成功させるための鍵となるメカニズムを認識し、そのメカニズムを適切に導入することが、より安全なリスク体制を築く道のりの非常に重要な部分となります。

組織がより適切で、持続可能で、透明性のあるサプライチェーンリスク体制に移行するには、以下の3つが必要です。(1) サプライチェーンリスクの理解。(2) リスクに対処する方法の理解。(3) 行動を起こすための組織内外の要因、およびその行動が不十分な場合の説明責任。

情報通信技術に依存している人々は、サプライチェーンのリスクはもはや無視できないものであり、その重大さが最小限に抑えられないことに徐々に気づき始めています。この認識の高まりに伴い、サイバー関連の主な利害関係者の間で、時には議論を超えて、共に協力し合ってサプライチェーンのリスクに対処できるように実質的な進展を遂げる責任があるという意識が高まっています。

リスクについて少なくともある程度理解している人に関していえば、その大多数が特におびただしい数の規格やベストプラクティスに直面して、どうすべきかと苦慮しています。サプライチェーンリスクに対処する取り組みに貢献できる以下のような活動が世界中で実施されています。SAFECode、アンダーライターズラボラトリーズ（Underwriters Laboratory）、European Supply Chain IntegrityのENISAレポート、EastWest Instituteのサイバーイニシアティブ、英国におけるCPNIとTrustworthy Software Initiativeによる取り組み、中国におけるサイバーセキュリティおよび反テロ法、日本におけるサプライチェーンリスクに関する戦略を実施する政府レベルの取り組み、米国におけるこの問題に対処するためのエネルギー、防衛、および金融部門の取り組み。

また、このホワイトペーパーでは、サプライチェーンリスクに対するファーウェイのアプローチについて詳しく説明します。このアプローチは、より大規模なエンドツーエンドのグローバル保証プログラムの一部を構成しています。このプログラムでは、フィードバックを求め、サプライチェーンリスクにより適切に対処し、グローバルなICTサプライチェーンにおける信頼を構築する方法について、ステークホルダー間でより広範な対話を奨励し、促進するための取り組みの詳細を共有します。

ファーウェイサイバーセキュリティホワイトペーパー（2016年6月）（PDF、1.70MB）