サプライチェーン
昨年7月、名古屋港施設がサイバー攻撃を受け、港湾機能を一時喪失したことは、記憶に新しい。日本政府は、経済安全保障推進法の基幹インフラとして「物流」などは指定していたが、今年になって「港湾」も加える(*1)ことにした。日本経済は輸出入に多くを…
どんな企業でも、1社でビジネスが完結するはずはない。本社だけ、あるいは関連グループ企業だけサイバーセキュリティを行っても、サプライチェーン攻撃によって事業停止に追い込まれることがある。ただ、資本関係がない企業群やグローバルに散らばった事業…
ランキング参加中All About公式ガイドグループ 日頃、中堅・中小企業がサイバー攻撃に逢い事業停止することで、部品納入先の大企業が事業停止に追い込まれる「サプライチェーンリスク」の議論をしている。しかし今回は、サイバー攻撃によるものでもなく、元…
6月に、台湾のサイバーセキュリティ関連企業・団体が来日したこと(*1)を紹介した。今回は、私たちが台湾を訪問することになった。会議の名前は「台日サプライチェーンに関する情報セキュリティ協力会議」である。台北の古い市街地松山地区にある「台北文…
先月、名古屋港のコンテナ管理システムがランサムウェア攻撃を受け、港の運営に支障が出た。その内容についての報道が出るようになって、いくつかの教訓が得られた。 名古屋港システム停止、脆弱なVPN狙われたか…最新「修正プログラム」適用せず無防備状…
経済安全保障推進法の4項目の中で、私たちサイバーセキュリティ関係者が一番重視しているのが「重要インフラ事業者への行政の審査」という項目。特にサイバー攻撃への耐性に係るもので、重大な脆弱性がないかなどのチェックを事業者任せにせず、監督官庁が…
昨日、一昨日に続いて、サーバローカライゼーション規制に関する話題をもうひとつ。ちょうど1年前に、インド太平洋経済枠組み(IPEF)が発足した。 IPEFはTPPがいやだから・・・だけ? - Cyber NINJA、只今参上 (hatenablog.com) 発足時は13ヵ国(*1)だったが…
何度か「サプライチェーンリスク」の中で、納入製品・部品にリスクが内在されていることについての議論を紹介している。いわゆる西側諸国では、特に世界の工場である中国でそのような製品・部品が製造されているのではないかとの懸念が高まっている。しかし…
パネリストには早々に了解をもらい、2週間前には説明用のスライドも用意できたのだが、台湾の人の渡航許可が下りなかった。そこで、彼だけはオンライン参加としてもらうことにした。 横長の部屋に小さな演壇を設けてもらい、パネリストは着席状態でプレゼン…
今回のオーストラリア出張の最大の目的は、ゴールドコーストのリゾートホテル(The Star Hotel)でのサイバーセキュリティの日豪関係者が集まる会合。AusCERTの年次総会に合わせて開催されたもので、運営に携わったのは以下の団体。 ・オーストラリア政府 ・…
サイバー攻撃によるリスクが高まる中、主要な納入業者が攻撃を受けて、部品やサービスの提供が停まる可能性を以前に指摘した。これもサプライチェーン・サイバーセキュリティの主要なリスクである。 経営者がサイバーリスクを認識し、しかるべき資源(ヒト・…
実は「Apache Log4j」事件以前から、ソフトウェア管理台帳を作って利用しようという話はあった。米国バイデン政権は、2021年5月のサイバーセキュリティ強化に関する大統領令で、ソフトウェアのサプライチェーン強化を謳いSBOM(Software Bill of Materials…
今週、ハードウェアの信頼性についてこれを明示しようという取り組みについて紹介した。ではソフトウェアについてはどうか?ハードウェアに比べて製造元が非常に多く、細分化すれば個人のプログラマまで広がってしまう。 ソフトウェアがハードウェアの「機器…
複数の企業が、多くの場合は国境を越えて連携することになる、IT機器のサプライチェーン・セキュリティ。ユーザからは見えなくなっていたハードウェアが、再度注目を集めることになるかもしれない。 すでに多くの団体・機関が、標準的な技術を議論し、設計か…
私がコンピュータサイエンスを学んで、社会人になったのは1981年。当時はコンピュータと言えばメインフレームに代表されるハードウェアが、技術でもビジネスでも注目されていた。ソフトウェアやシステムインテグレーション、保守サービスなどは「機器添付品…
「サイバーセキュリティは経営課題」と常々申し上げてきたのだが、この数年大企業経営者にこの言葉は浸透してきているとの実感はある。ただこれを意識して対策を打ち始めた経営者さんの悩みは「自社だけ頑張っても取引先含めたサプライチェーン全体のリスク…