抄録
本稿は米国におけるサイバー・サプライチェーン・セキュリティ政策を扱うものである。
第1に、政策の目的を確認した。その目的は、サプライチェーン上の情報の機密性、完全性 (IT/OT製品・サービスの真正性及び非改ざん性)、レジリエンス、及び品質の確保にあることを指摘した。
第2に、政策をマッピングした。米国の政策は、まず、NISTによる組織/請負人に対する情報セキュリティ・マネジメントの要求により、主として機密性を確保し、次いで、調達ルールにより、主として完全性・品質を確保していることを指摘した。
第3に、課題も指摘した。連邦機関のセキュリティ・ガイダンスの実施率は低く、その原因として、調達ルールの未整備にあることが指摘されている。そのため、情報セキュリティ・マネジメントの指針による意識向上と、調達ルールによる義務化の両輪が、サプライチェーン・セキュリティ政策として重要であることを指摘した。
