1万5000の製品に5万以上のサプライヤーが関与する大規模サプライチェーンのセキュリティプログラムの内幕

領域1：研究・開発・設計

　ここでは5つのプログラムを実行している。

プログラム1＝製品およびシステムのセキュリティ ：産業制御システムのセキュリティに関する国際規格である「ISA/IEC 62443」に準拠する。特にSSDLC（Secure Software Development Life Cycle: セキュアソフトウェア開発ライフサイクル）に関するサブ規格「ISA/IEC 62443 4-1」に基づいたトレーニングを研究開発に関わる全従業員が受講し、外部審査や評価のもとで最高レベルの成熟度を獲得している。

　ISA/IEC 62443 4-1はSSDLCに関する唯一の認証であり認証プロセスによる拘束力がある。サプライヤーに対しては、SSDLCの有無と合わせて、開発工程でどのようにSSDLCを実践しているかを聞いている。第3者認証が顧客に対するSDLCに関する説明責任になると考えるためである。

プログラム2＝技術検証 ：製品開発チームによる各種テストに加え、CREST認定を受けたペネトレーションテストチームが、IT（Information Technology：情報技術）ソフトウェア製品とOT（Operation Technology：制御・運用技術）製品とを検証する。OT製品のペネトレーションテストでは安全への影響も理解したOTテスターが必要になる。サプライヤーに対しても、自動診断ツールによるソフトウェア検証だけではなく、OT専門の第3者によるペネトレーションテストを実施しているかどうかを確認する。

プログラム3=SBOM（Software Bill of Materials）の利用 ：製品に使用したコンポーネントやオープンソースとの依存関係、ライセンス情報などをSBOMとして一覧化する。外部に提供する場合は秘密保持契約を結ぶ。SBOMにより、エンドユーザー自らが脆弱なオープンソースコンポーネントの有無を確認したり、独自の脅威分析を実施したりができる。

プログラム4=研究開発環境のサイバーセキュリティ ：開発やエンジニアリングの現場や研究所などのインフラは、ITセキュリティ管理の一環として集中管理されておらず資産台帳から漏れがちだ。だが、研究開発環境からのデータ漏えいリスクなどが高まっているため、研究開発現場向けのセキュリティ対策を定め、拠点ごとに決めた担当者が中心になって、セキュリティの啓蒙や拠点ごとの資産管理に取り組んでいる。

プログラム5=ソースコード管理 ：知的財産管理の観点を含め、独自のポリシーによりアクセス権限を評価・管理する。退職やプロジェクトチームの再編時などに離脱したメンバーのアクセス権限が適切に削除されているの確認も重要だ。ソフトウェアのビルド管理やDevOps（開発と運用の統合）とソースコードセキュリティ対策を連携し、開発チームごとに適切な対策を確認できる仕組みを構築している。「サードパーティーのリスク管理だけでなく、従業員や企業自体がセキュアな開発手法を採用する必要がある」（クロスリー氏）