重要インフラのサプライチェーンリスク
2019/2/16(土)の日本経済新聞に、『重要インフラのサイバー攻撃 「機器調達リスク」初の明記』との見出しの記事がありました。
重要インフラは、14分野が指定されており、非常に多岐に亘っています。
1 情報通信
2 金融
3 航空
4 空港
5 鉄道
6 電力
7 ガス
8 政府・行政サービス(地方公共団体を含む)
9 医療
10 水道
11 物流
12 化学
13 クレジット
14 石油
重要インフラ事業者が情報セキュリティに取り組む内容として、「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)」があります。
https://www.nisc.go.jp/active/infra/pdf/shishin5.pdf
今後の改定で、この文書に、サプライチェーンリスクについて盛り込むとのことです。
サプライチェーンとは、一般的には製品を製造する過程から消費者に届くまでのことです。
このサプライチェーンの中で、不正な改造やマルウェアの混入により、情報窃取等のリスクが考えられます。これをサプライチェーンリスクと言います。
今後、重要インフラ事業者が導入する通信機器に対して、このサプライチェーンリスクを考慮していこうという内容が盛り込まれる予定とのことです。
アメリカでは、2018年8月13日にトランプ大統領が署名した2019年度の国防権限法で、中国企業のファーウェイ(華為技術)とZTE(中興通訊)は、政府調達禁止となっているようです。