【実務思考】【SC-R07-1-PM-Q1K】サプライチェーンにおけるセキュリティリスク管理

情報処理安全確保支援士
目次
  1. 🍀概要
  2. 🧾問題・設問(SC-R07-1-PM-Q1)
    1. 📘記述式問題(IPAオリジナル)
    2. 📘論述式問題(再構築版:SC-R07-1-PM-Q1K)
    3. 📗設問
  3. 🪄詳細分析(AI)
    1. 📝3行まとめ
    2. 🧭サプライチェーンにおけるセキュリティリスク管理についての考察
  4. 📌補足(考察について)

🍀概要

 情報処理安全確保支援士試験 令和7年 午後 問1を題材に、AIを活用して詳細に解析した結果を示すものです。
 本稿では、問題を単なる模範解答の提示にとどめず、論述形式に再構築して多角的に検討することで、実務で求められる課題発見力・抽象化力・全体設計の視座を獲得することを狙いとしています。
 これにより、試験対策の枠を超え、問題文に内在する本質的な課題や情報処理安全確保支援士としての思考プロセスを深く理解するための示唆を提供します。

🧾問題・設問(SC-R07-1-PM-Q1)

 出典:情報処理推進機構 情報処理安全確保支援士試験 令和7年 午後 問1(🔗取り扱いガイドライン)

📘記述式問題(IPAオリジナル)

■タイトル
 サプライチェーンのリスク対策について
 ※IPA公式問題PDF(独自OCR処理版) 問題文・解答はこちらから入手可能
■要約(AI生成)

200文字程度

 L社は金融システム開発企業であり,サプライチェーンリスク対策を強化した。新ガイドラインはシステムライフサイクルに沿って策定された。過去のインシデントを踏まえ,SBOM作成や外部スクリプト把握の重要性を示し,ツールFを用いたソースコード検査の自動化を提案した。ネットワークスペシャリストの視点から,SBOMやアクセスログ管理,開発フローにおけるセキュリティ対策の強化を重視する。

800文字程度

 L社は金融業向けシステムを開発する従業員1,000名の企業であり,サプライチェーンリスク対策の強化に取り組んでいる。情報セキュリティ担当のBさんは,セキュリティコンサルタントD氏(登録セキスペ)の助言を得て,新たなセキュリティガイドラインを策定した。このガイドラインは,システムライフサイクルの「調達,開発,リリース・デプロイ,運用」の各工程と,全ての工程に共通する項目で構成されている。
 ガイドライン案では,システム関連情報資産の一覧化,アカウント管理における責任追跡性の確保,パッチ適用状況の把握,業務委託先の管理,開発環境へのアクセス制御,アクセスログの記録,ソースコードの人手レビュー及びSASTツール(ツールF)によるチェック,SBOM作成,リリースバージョン管理,稼働状況監視,アクセス制御,入退室管理,インシデント対応手順書の作成などが盛り込まれた。
 過去のインシデント事例として,古いWebブラウザサポート用の外部スクリプトPが改ざんされ,利用者が悪意のあるWebサイトにリダイレクトされたケースが挙げられる。このインシデントでは,SBOMに外部スクリプトPが含まれないため,SBOM作成だけでは防げないことが判明した。そのため,SBOM以外の手段で外部スクリプトを把握する対策の必要性が示された。ネットワークスペシャリストの視点からは,システム構成要素の正確な把握,特に外部要素の識別と管理の重要性が強調される。
 ガイドラインを用いた点検では,現在進行中のシステムS開発プロジェクト及び運用サービスが対象となった。システムSの概要として,インターネットバンキングシステムであること,開発に派遣エンジニアや業務委託先が関与していること,セキュリティ監視を外部のN社に委託していることなどが確認された。点検の結果,OSSライブラリの台帳未管理や,開発したソフトウェアのSBOM未作成といった問題点が洗い出された。
 SBOMについては,将来の脆弱性管理の容易性から作成の検討が促された。また,開発工程のセキュリティ対策として,開発LANへの社内からのアクセスログが取得できていない点が指摘され,図2中のL3SWでの取得が提案された。ソースコード検査については,開発リーダーによるレビューに加え,ツールFでのチェックが推奨された。ツールFの実行タイミングとしては,図3の開発フロー中のコンパイル実行後(あ)又はソースコードリポジトリへのアップロード後(い)が検討され,それぞれの利点が考慮されることになった。ネットワークスペシャリストとして,これらのアクセスログやSASTツールの配置は,ネットワーク上の監視ポイントやデータフローを理解した上で最適化されるべき事項である。
 これらの点検と対策を通じて,L社のサプライチェーンリスク対策は強化された。

📘論述式問題(再構築版:SC-R07-1-PM-Q1K)

■タイトル
 サプライチェーンにおけるセキュリティリスク管理について
■内容
 近年,情報システムの開発や運用において,サプライチェーンを構成する様々な外部組織との連携が不可欠である。2025年には経済産業省による「サプライチェーン強化に向けたセキュリティ対策評価制度」の検討が本格化し、2026年度の制度開始に向けた企業のセキュリティ対策レベルの可視化と標準化が求められている。また、生成AIの急速な業務導入により、従来の情報漏洩リスクに加え、AIを介したサプライチェーン攻撃やデータ汚染といった新たな脅威が顕在化している。これにより,企業は多様な専門知識やリソースを活用できる一方で,自社では制御しきれない潜在的なセキュリティリスクに直面している。業務委託先や利用するソフトウェア・ハードウェアの供給元でのセキュリティ侵害は,企業の事業継続性や信頼性に甚大な影響を及ぼす可能性がある。情報処理安全確保支援士には,このような複雑化したサプライチェーン環境において,組織のセキュリティを確保するための高度な専門知識と実践的な対策立案能力が求められる。
 組織がサプライチェーン全体におけるセキュリティリスクを適切に管理するためには,政府が推進する評価制度への対応を含めたセキュリティガイドラインの策定,既存システムの点検と改善,そして継続的なセキュリティ対策の強化が不可欠である。特に,ソフトウェア構成情報(SBOM)の活用,開発プロセスにおけるセキュリティの組み込み(セキュリティ・バイ・デザイン),生成AIの安全な活用に向けたガバナンス体制の構築,及びインシデント発生時の迅速な対応体制構築は,サプライチェーンリスク対策の中核をなす。情報処理安全確保支援士は,これらの取り組みを主導し,組織全体のセキュリティレベル向上に貢献する役割を担う。
 あなたの経験と考えに基づいて,設問ア~ウに従って解答せよ。
 なお,解答欄には,文章に加えて,図表を記載してもよい。

📗設問

■設問ア
 あなたが情報処理安全確保支援士として携わった,または今後携わるべきと考えるサプライチェーンにおけるセキュリティリスク対策について,その対策強化の必要性と,あなたが所属する会社(または対象組織)の事業特性と情報システム環境を踏まえた基本的な対策方針を,2ページ(800字相当)以内で答えよ。
■設問イ
 設問アで述べた対策方針に基づき,あなたが所属する会社(または対象組織)のサプライチェーンリスクを特定・評価するために,どのような具体的な情報収集と分析手法を用いるか。また,その結果,特定された主要なリスクと,それらに対する具体的な技術的・組織的対策について,経済産業省が検討する評価制度への対応や生成AI活用に伴うリスクも踏まえて,2ページ(800字相当)以上,かつ,4ページ(1,600字相当)以内で具体的に答えよ。
■設問ウ
 設問イで述べた対策を組織全体に浸透させ,実効性を確保するために,あなたはどのような推進体制や連携体制を構築し,どのような課題に直面し,どのように解決したか(または解決すると考えるか)。また,継続的なサプライチェーンセキュリティ強化に向けて,政府主導の評価制度や生成AI等の新技術への対応を含め,情報処理安全確保支援士として今後どのような役割を果たすべきか,1.5ページ(600字相当)以上,かつ,3ページ(1,200字相当)以内で具体的に答えよ。

🪄詳細分析(AI)

 論述式問題(SC-R07-1-PM-Q1K)について、分析した結果を示す。

📝3行まとめ

  1. 【背景】サプライチェーンを狙った攻撃や、生成AIを介した新たな脅威の台頭により、組織の境界を越えたセキュリティ管理が求められています。
  2. 【SC視点】他社任せにしない「責任ある委託」の観点から、リスク評価・統制要求・監査可能性を備えたセキュリティガバナンスの構築が必要です。
  3. 【行動・着眼点】SBOMの活用や外部資産の可視化、委託先のセキュリティ要求事項の明文化と、その継続的な評価プロセスを整備すべきです。

🧭サプライチェーンにおけるセキュリティリスク管理についての考察

1. 問題の背景と現状分析

  • 現状の課題・問題点:
    • 情報システムの開発・運用は、外部組織との連携が不可欠となり、サプライチェーンが複雑化している。
    • 自社で制御困難な外部組織(業務委託先、ソフトウェア・ハードウェア供給元)のセキュリティ侵害が、自社の事業継続を脅かす重大なリスクとなっている。
    • 生成AIの業務導入により、従来の情報漏洩リスクに加え、AIを介したサプライチェーン攻撃やデータ汚染といった新たな脅威が出現している。
  • 変化の必要性の背景:
    • DXの進展と相互接続性の増大: 企業のデジタルトランスフォーメーション(DX)が進み、クラウドサービスやSaaSの利用が常態化。これにより、企業内外のシステムが密接に連携し、一箇所の脆弱性がサプライチェーン全体に波及するリスクが高まっている。
    • 政府・規制当局の要請: 経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度」を推進するなど、サプライチェーン全体のセキュリティレベルを可視化し、標準化する社会的な要請が強まっている。
    • 攻撃手法の高度化: 攻撃者は、セキュリティ対策が強固な大企業を直接狙うのではなく、対策が手薄になりがちな中小の委託先や供給元を足がかりにする「サプライチェーン攻撃」を主流の手法としつつある。

2. 理想像の抽出と具体化

  • あるべき理想的な状態:
    • 信頼に基づく動的なリスク管理: サプライチェーンを構成する全ての組織が、互いのセキュリティ対策レベルを信頼し、継続的に情報を共有・連携することで、リスクを動的に管理・評価できる状態。これは、一度きりの契約時の評価だけでなく、SBOM(ソフトウェア部品表)の交換や脆弱性情報の共有などを通じて、常に最新のリスク状況を把握し、迅速に対応できる体制を指す。
    • セキュリティ・バイ・デザインの徹底: 自社だけでなく、サプライチェーン全体で「セキュリティ・バイ・デザイン」の考え方が浸透している。開発の初期段階からセキュリティが組み込まれ、委託先から納品されるソフトウェアやサービスも、一定のセキュリティ品質が担保されている。
    • AIガバナンスの確立: 生成AIの利用に関して、サプライチェーン全体で共通のガイドラインやルールが整備されている。AIを介した情報漏洩やデータ汚染のリスクを低減し、安全にAIの恩恵を享受できる環境が構築されている。
  • 克服すべき障壁:
    • コストと専門知識の格差: サプライチェーンを構成する中小企業では、セキュリティ対策に十分なコストや人材を割り当てられない場合が多く、全体のセキュリティレベルの底上げが難しい。
    • 情報の非対称性: 委託元と委託先の間で、セキュリティに関する情報(インシデント情報、脆弱性情報など)が透明性をもって共有されず、リスクの実態が見えにくい。
    • 標準化の欠如: SBOMのフォーマットや評価基準などが統一されておらず、組織間での情報連携や比較評価が困難である。
  • 利害関係者の視点:
    • 経営層: サプライチェーン全体のリスクが可視化され、事業継続計画(BCP)の実効性が高まる。政府の評価制度にも対応でき、企業の社会的信頼性が向上する。
    • セキュリティ担当者: 委託先のセキュリティ状況を客観的な指標(SBOM、評価制度)で継続的に把握でき、効率的かつ効果的なリスク管理が可能になる。インシデント発生時も、迅速な原因究明と影響範囲の特定ができる。
    • アプリケーション開発者: セキュアな開発環境が標準となり、開発プロセスにセキュリティが自然に組み込まれる(DevSecOps)。手戻りが減り、開発の生産性が向上する。
    • 外部委託先: 委託元から明確なセキュリティ基準が示されることで、対策の方向性が明確になる。セキュリティレベルの向上が、新たなビジネス機会の獲得につながる。

3. 要約

  • [200文字]要約:
    サプライチェーンのセキュリティは、外部組織との連携が鍵である。理想像は、SBOM等を活用し、リスクを動的に共有・管理する体制の構築である。AIの脅威にも対応したガバナンスを確立し、サプライチェーン全体で「セキュリティ・バイ・デザイン」を徹底することで、事業継続性を確保する。
  • [400文字]要約:
    サプライチェーンの複雑化とAI等の新技術は、新たなセキュリティリスクを生む。理想的な状態は、契約時だけでなく、SBOM等を活用して継続的にリスクを評価し、サプライチェーン全体で共有・対応する動的なリスク管理体制を築くことである。これには、組織間の情報格差を埋め、セキュリティ・バイ・デザインを徹底する必要がある。政府の評価制度にも対応し、信頼に基づく連携を強化することが不可欠である。
  • [800文字]による詳細な考察:
    本問題は、個社最適のセキュリティ対策から、エコシステム全体での防御へとパラダイムシフトが求められている現状を的確に捉えている。
    • あるべき理想像とは、「ゼロトラスト原則に基づく、自律的で回復力のあるサプライチェーン・セキュリティエコシステム」の構築である。これは、単に委託先を管理・監査する一方向の関係ではなく、全ての構成組織が対等な立場で脅威情報を共有し、自動化された仕組みで連携してインシデントに対応する、双方向の信頼ネットワークを意味する。このエコシステムでは、SBOMは単なる部品表ではなく、脆弱性情報やライセンス情報と動的に連携し、リスクをリアルタイムに警告する「生きたドキュメント」として機能する。生成AIは、脅威分析やインシデント対応の自動化に活用される一方、そのAI自身もサプライチェーンリスクの一部とみなされ、入力データやモデルの真正性を検証する仕組みが組み込まれる。
    • 理想像実現へのアプローチとして、情報処理安全確保支援士は、まず経済産業省の評価制度をベンチマークとし、自社及び主要な委託先の現状レベルを客観的に評価する。次に、そのギャップを埋めるための具体的なロードマップを策定する。技術的には、SBOMの生成・交換を自動化するプラットフォームの導入や、組織間で脅威情報を共有するためのISAC(Information Sharing and Analysis Center)への参加を推進する。組織的には、委託先選定基準にセキュリティ要件を明確に盛り込み、契約内容にもインシデント発生時の報告義務や協力体制を明記する。
    • 期待される効果は、サプライチェーン攻撃による被害の未然防止と、インシデント発生時の迅速な復旧による事業継続性の向上である。
    • 考慮すべきリスクは、過度な管理強化が、中小の委託先の負担を増大させ、イノベーションを阻害する可能性である。支援士は、リスクベースのアプローチに基づき、取引の重要性に応じた適切なレベルのセキュリティを求める、柔軟な姿勢が求められる。

📌補足(考察について)

「考察」の作成手順については、こちらで解説していますので、興味ある方はご参照ください。
なお、当サイトのAI活用方針につきましては、こちらをご確認ください。