米国のサプライチェーンをサイバー攻撃から救うことはできますか?
2月、ジョー・バイデン大統領は大統領令14017に署名し、米国の重要なサプライチェーンの包括的な見直しを求めました。この行動は、COVID-19のパンデミックの最中に、最前線の医療従事者向けの個人用保護具(PPE)などの医療用品の不足に対応したものでした。注文によって特定されたその他のニーズには、自動車産業やその他のハイテクアプリケーション向けの半導体チップが含まれていました。
これらの問題は、アメリカ人が不可欠な製品を入手する能力を妨げ、影響を受けた産業の労働者を不安定にします。ホワイトハウスによると、新しい命令の目標は、再発する前にそのような問題に積極的に対処することです。
「どのような危機が私たちを襲うかを予測することはできませんが、課題に直面したときに迅速に対応する能力が必要です」とホワイトハウスは述べています。 「米国は、生産不足、貿易の混乱、自然災害、および外国の競争相手や敵対者による潜在的な行動によって、米国が再び脆弱になることがないようにする必要があります。」
大統領のキャンペーンは、彼の政権がサプライチェーンのリスクに包括的に取り組むことを約束していることを明らかにしました。しかし、イニシアチブは成功しますか?
セキュリティの観点から、主管庁が考慮すべき問題がいくつかあります。そうしないと、時間と労力が重複し、リソースが無駄になり、別のサプライチェーン攻撃につながる可能性のあるサイバーリスクを軽減できなくなります。
米国のサプライチェーンのセキュリティを確保するための最初のステップは、その脆弱性とリスクを特定することです。バイデンの大統領命令は、防衛産業基盤、公衆衛生、情報技術と通信、電力とエネルギー、輸送、農業の6つのセクターに焦点を当てています。
サプライチェーンがデジタル製品やサービスに依存しているため、深刻な脆弱性が生じており、サイバーセキュリティがレビューの重要な部分となっています。国民国家の関係者がサイバー犯罪を介してサプライチェーンを維持することを決定する可能性があるという恐れは現実のものです。大統領命令のセクション4.4は、サイバーリスク管理が重要な関心事であり、重点分野であることを明確にしています。 1年以内に、サプライチェーンの競合国への依存の現状をカバーするレポートを提出する必要があります。政府がこの目的のために情報セキュリティコミュニティにどのように関与するかは、すべてのセクターにわたるイニシアチブを成し遂げるか、または壊します。
1年で結果を保証する
この事業は、1年間の期間で多くの地域を対象としています。情報セキュリティとテクノロジーのコミュニティは、昨年の教訓を生かして、イニシアチブを推進している関係者に情報を提供することが重要です。情報共有および分析センター(ISAC)やITセクター調整評議会(ITSCC)などの業界グループの取り組みが成功の核となるでしょう。さらに、サードパーティと取引する際に優先するリスクについて、4大会計事務所から大量のデータと分析が出ています。
米国国防総省は、イニシアチブをシームレスに展開するのを支援する上で重要な役割を果たす必要があります。 DODが監視している同等の取り組みは、Cybersecurity Maturity Model Certification(CMMC)であり、政府が契約した資料のサプライヤーは特定の基準を満たす必要があります。これまでのCMMCに対する公的および私的な反応に基づく重要なアドバイスの1つは、契約の授与とレビューのプロセスを可能な限り混合しないようにすることです。セクター業界のリーダーと政府機関は協力して、さまざまなサプライチェーン全体でサイバーのシンプルで効果的な標準を簡単に決定する必要があります。
標準化の重要性
適切なパートナーシップを構築し、情報セキュリティの専門家から情報を入手することは1つのことですが、米国のサプライチェーン全体でサイバーセキュリティの成熟度を高めることはまったく別のことです。コミュニケーションは、これほど大規模なエコシステムに展開されたときに、新しい要件を作成または解除できる1つの要素です。これは測定によって推進され、サイバーセキュリティの成熟度に関係なくグループ間で結果が標準化されます。 NIST CSFサプライチェーンリスク管理サブカテゴリや前述のCMMCなどの標準は、要件を明確にし、サプライチェーン全体に効果的に実装するための優れたツールです。 NIST CSFに基づくサイバー評価の方法論は、情報セキュリティに関する知識がほとんどないサプライヤにコンテキストを提供する上で特に価値があります。
測定に関しては、グローバルなサプライチェーンエコシステムの複雑さを考えると、米国のサプライチェーンにおける潜在的なリスクをすべて排除することは不可能です。それでも、さまざまな潜在的な障害点を調査するシナリオを特定することは価値があります。創造的な方法で既存のリスク定量化手法を活用することは、真の回復力を達成するための鍵です。企業がサプライチェーンのリスクを、優れたガバナンスを実現する手段として理解し、セキュリティチームからのインプット、データと情報の共有、およびリスク管理ソフトウェアの進歩を活用することが不可欠です。
バイデンのサプライチェーンイニシアチブが過去の出来事からの既存のデータと将来についての予測分析を利用することを期待することしかできません。サプライチェーン全体をベンチマークし、すべての脆弱性を1年で特定できますか?また、米国のサプライチェーンにおける深刻なサイバーリスクを軽減できるでしょうか。それはまだ分からない。
Padraic O'Reillyは、CyberSaintの共同創設者兼最高製品責任者です。
産業技術
- TMSがグローバルサプライチェーン内の可視性をどのように実現できるか
- IoTが季節的なサプライチェーンを合理化できる3つの方法
- サプライチェーンのアマゾン化
- 米国企業がサプライチェーンを中国からメキシコに移行する理由
- AIはサプライチェーンを持続可能なものにするのに役立ちます
- 危機の時代にサプライチェーンが軍事計画者から何を学ぶことができるか
- シングルソースサプライチェーンの終焉
- 契約ライフサイクル管理がサプライチェーンを形成できる5つの方法
- 破壊されたサプライチェーンの修復について神経科学が教えてくれること
- サプライチェーンが次のパンデミックの波をどのように乗り切ることができるか
- 顧客中心のサプライチェーンが成長を促進する方法