サプライチェーンを狙ったサイバー攻撃が増加している昨今、IT管理者や情シス担当者にとって“サプライチェーンセキュリティ”は避けて通れない課題です。そこで注目を集めているのが、Acquisition Security Framework(ASF) という考え方。本記事では、ASFの概要や利点を紹介しながら、NISTなど公的機関の文献を引用しつつポイントを整理します。
なぜASFが重要なのか?
サプライチェーンへの攻撃が深刻化
多くの場合、外部から調達したソフトウェアやサービスの脆弱性が悪用されるため、調達段階からのリスク管理が不可欠です。
ASF(Acquisition Security Framework)とは?
ASFは、システムの調達・開発・運用といったライフサイクル全体でセキュリティを確保するための包括的フレームワークです。米国国防総省(DoD)が推進しており、大量のチェックリスト(数百項目にのぼるケースも)を用意しています。すべてを丸ごと適用するわけではなく、自社の事業規模やセキュリティ要件に合わせて選択的に導入するという“カタログ的”な利用が推奨されています。
- 全てのチェックリストは、Acquisition Security Framework (ASF): Managing Systems Cybersecurity Risk (Expanded Set of Practices)を参照してください。
- できれば全文を日本語に翻訳したかったのですが、無許可の翻訳・改変が禁止されており断念しました。
ASFの主な特徴
1. プログラム管理
- 契約・調達段階でセキュリティ要件や脆弱性管理のプロセスを明確化
- サプライヤー評価(Supplier Evaluation)を体系的に実施
2. エンジニアリング・ライフサイクル管理
- 設計・開発・テストでセキュリティ要件を検証
- NISTのSP 800-161などのガイドラインを参考に脆弱性やリスクを分析
3. 運用とサステナビリティ
- システム稼働後もSBOM(ソフトウェア部品表)を活用し、継続的に脆弱性をモニタリング
- インシデント発生時の復旧計画やサプライヤーとの連携ルールを明確化
ASFを導入するメリット
サプライチェーン全体の可視化
SBOMを用いることで、どの部品やモジュールがどのような脆弱性を抱えるか把握しやすくなります。
監査やコンプライアンス対応が容易
ASFに沿ったプロセスは文書化を前提とするため、内部監査や規制対応にも強くなります。
柔軟に拡張できる運用
企業規模が小さいうちは必要最低限のチェック項目だけを導入し、後々事業が拡大した際にはチェック項目を増やしていく、といった段階的アプローチが可能です。これにより、大きな負担をかけずに導入を進められます。
ASFのプラクティス領域・ドメイン一覧
ASFでは、大きく6つの「プラクティス領域(Practice Area)」が定義され、その下に複数のドメイン(Domain)が配置されます。各ドメインには複数のゴール(Goals)が存在し、さらに各ゴールで「質問(Practices)」が提示されています。
以下の表は各領域・ドメインの概要、ゴール数、質問数合計を示したものです(CMU/SEI-2023-TN-004に基づく)。
| プラクティス領域 | ドメインID | ドメイン名 | ドメイン概要 | ゴール数 | 質問数合計 |
|---|---|---|---|---|---|
| Program Management (PGM) | PGM.1 | Program Planning and Management | プログラムの立ち上げ・計画・管理を行い、セキュリティ/レジリエンスを統合する | 4 | 30問 |
| Program Management (PGM) | PGM.2 | Requirements and Risk | プログラムの要求事項およびリスクを管理し、セキュリティ/レジリエンスを確保 | 2 | 22問 |
| Engineering Lifecycle (ENL) | ENL.1 | Engineering Infrastructure | エンジニアリング環境(インフラ)をセキュアに構築・維持し、リスクを管理する | 2 | 12問 |
| Engineering Lifecycle (ENL) | ENL.2 | Engineering Management | エンジニアリング活動を計画・管理し、セキュリティ/レジリエンス要件・リスクを統制 | 2 | 13問 |
| Engineering Lifecycle (ENL) | ENL.3 | Engineering Activities | 要件、アーキテクチャ、実装、テスト、運用など具体的なエンジニアリング作業にセキュリティ/レジリエンスを組み込む | 7 | 58問 |
| Supplier Dependency Management (SDM) | SDM.1 | Relationship Formation | サプライヤーとの関係構築(契約形成など)を計画し、セキュリティ要件やリスクを明確化する | 3 | 18問 |
| Supplier Dependency Management (SDM) | SDM.2 | Relationship Management | サプライヤーとの関係を継続的に管理し、パフォーマンスやリスクを監視・制御する | 7 | 36問 |
| Supplier Dependency Management (SDM) | SDM.3 | Supplier Protection and Sustainment | サプライヤーの保護策や中断管理を含め、サービス継続性を確保する | 2 | 10問 |
| Support (SPT) | SPT.1 | Program Support | 組織の各種サポート機能(教育、構成管理、計測分析、リソース管理など)を通じ、セキュリティ/レジリエンスを支援 | 4 | 30問 |
| Support (SPT) | SPT.2 | Security/Resilience Support | 資産管理、アクセス管理、施設管理、インシデント管理などセキュリティ業務を横断的に実施 | 7 | 45問 |
| Assessment and Compliance (AC) | AC.1 | Assessment | プログラムやシステムを独立的に評価し、リスクと問題を統合的に把握する | 2 | 19問 |
| Assessment and Compliance (AC) | AC.2 | Compliance | 法令や規格に準拠するための承認(Authorization to Operateなど)や専門領域のリスク分析を実施 | 2 | 21問 |
| Process Management (PCM) | PCM.1 | Strategic Security/Resilience Management | 組織のセキュリティ/レジリエンスを戦略的・継続的に管理し、プロセスの成熟度を高める | 5 | 18問 |
ASFの質問の具体例:SDM.2.3 (Supplier Risk Management)を例に
各プラクティス/ドメイン/ゴールが実現されているかを確認するための質問が大量に定義されています。
例として、SDM.2.3: Supplier Risk Management を見てみましょう。
ここでは、サプライヤーリスクを継続的に管理するためのゴールと、それを確認する具体的な質問(Question)が定義されています。
| ゴール | 質問番号 | 質問(日本語訳) |
|---|---|---|
| サプライヤーリスク管理を継続的に実施する(SDM.2.3) | 1 | プログラムやシステムを支援するサプライヤーに対するセキュリティ/レジリエンス要件は定期的にレビュー・更新されているか? |
| 2 | サプライヤーと接続しているすべてのシステムに対して脅威モニタリングを実施しているか? | |
| 3 | サプライヤーの脅威モニタリングにおいて、自動アラート通知などを活用しているか? | |
| 4 | サプライヤー契約で明示されていないセキュリティ/レジリエンス要件(例:インフラ提供者の責任範囲など)もリスクモニタリングに含めているか? | |
| 5 | サプライヤーのパフォーマンス上の問題や懸念事項もリスクモニタリングに含めているか? | |
| 6 | サプライヤーに依存することで発生するリスクを特定し、(受容、回避、移転、緩和など)適切に対応しているか? | |
| 7 | サプライヤーを「排除すべき」「受け入れるべき」を判断するリスク基準を設定し、運用しているか? | |
| 8 | あるサプライヤーがシステムの単一障害点(SPOF)になっていないか検討しているか? | |
| 9 | プログラムやシステムの保護を考慮し、脅威モニタリングに含めるべきサプライヤーを特定しているか? | |
| 10 | プログラムやシステムに関する脅威情報をサプライヤーと共有し、協調して対処しているか? |
こうした質問のリストを使いながら、サプライヤーを継続的にモニタリングし、リスクを発見するたびに契約見直しや対策を検討するといった運用がASFによって促進されます。
なお、すべての質問を採用するのではなく、この中から自組織にあった質問を選択するイメージです。
日本企業が参考にすべき点
1. サプライヤーとの責任分担を明確化する
どこまでを自社の責任範囲とし、どこからをサプライヤーに委ねるのかを事前に取り決めます。
たとえばSBOM提出義務やインシデント発生時の報告フローなどを契約書に明文化しておくと、トラブルを最小化できます。
2. 優先度づけ
ASFが提示する数百のチェック項目すべてを一度に導入するのは困難です。まずは重要度の高いシステムやサプライヤーから対応するのがおすすめです。
3. 継続的なレビューと改善
技術と脅威は日々進化しており、ASFも一度導入すれば終わりではありません。定期的に見直して最適化しましょう。
まとめ
Acquisition Security Framework(ASF)は、サプライチェーンを含むライフサイクル全体のセキュリティを高める強力なツールです。すべてのチェック項目を網羅する必要はなく、組織の規模やリスクに合わせて柔軟に選択・導入できる点が特徴といえます。SBOMやNISTガイドラインと組み合わせれば、より堅牢なサプライチェーンセキュリティを実現できるでしょう。さらに詳しい用語や関連情報は、当ブログの用語集もぜひご覧ください。