基本情報 平成29年度 秋期 問39：テクノロジ系に関する問題

答えは c「サプライチェーンのビジネスパートナのセキュリティ対策」 です。

「サイバーセキュリティ経営ガイドライン」は、経営者向けの社内＋取引先（サプライチェーン）まで含めたセキュリティ対策の指針。

自社だけ守っても、取引先が穴だらけだとそこから侵入される（サプライチェーン攻撃）ので、ビジネスパートナの対策状況まで確認しなさい、と求めています。

👉 覚え方：取引先の鍵が空いてたら自社も危ない！

ほかの選択肢：a 個人利用者の対策は範囲外／b 株主／d 地域社会は守備範囲外。

なぜこれが正解か

正解は c。経産省/IPA「サイバーセキュリティ経営ガイドライン」は経営者向けに、自社だけでなくサプライチェーン（取引先・委託先・グループ会社）のビジネスパートナのセキュリティ対策実施状況の確認を求めている。これはサプライチェーン攻撃（弱い取引先経由で本命企業を狙う手法）が増加した実態を踏まえたもの。

各選択肢の解説

• a 個人利用者のセキュリティ対策：消費者の自衛は別の話。経営ガイドラインの対象外。
• b 株主のセキュリティ対策：株主は監督者であり実行責任者ではない。
• c サプライチェーンのビジネスパートナ：ガイドラインの明示要求事項 → 正解。
• d 地域社会のセキュリティ対策：CSRの一環としてあり得るがガイドライン要求事項ではない。

覚え方・ひっかけ注意

ガイドラインは経営者の3原則 + 重要10項目で構成。10項目の中に「ビジネスパートナや委託先を含めたサプライチェーン全体の対策の実施・状況把握」が含まれる。サプライチェーン攻撃の典型例として、米Target社情報漏洩（空調業者経由、2013）、SolarWinds事件（2020）が頻出。

ガイドラインの構成

経産省/IPA「サイバーセキュリティ経営ガイドライン」（2015初版、Ver1.1=2017、Ver2.0=2017、Ver3.0=2023）は、経営者が認識すべき3原則 と CISO等が実施すべき重要10項目 から成る：

経営者の3原則

1. 経営者はサイバーセキュリティリスクを認識し、リーダーシップで対策を進める。

2. 自社のみならずビジネスパートナや委託先を含めたサプライチェーンの対策が必要。

3. 平時・緊急時のサイバーセキュリティ対策を社内外関係者と適切にコミュニケーション。

重要10項目（一部）

• リーダーシップ表明・体制構築
• リスク管理体制
• 対策のためのリソース確保
• サイバーセキュリティリスクの認識と対応方針策定
• サプライチェーンのセキュリティ対策実施・状況把握 ←本問の論点
• インシデント対応体制構築・運用
• 緊急時対応の演習
• サプライチェーン全体のセキュリティ意識向上
• ステークホルダへの情報開示

サプライチェーン攻撃の代表事例

• SolarWinds Orion（2020）：ソフト更新経由で米政府機関含む18,000組織に侵入。APT29関与とされる。
• Kaseya VSA（2021）：MSPツール経由でランサムウェア配布、1500社に波及。
• トヨタ部品メーカ小島プレス（2022）：取引先経由でトヨタ全国14工場停止。
• Log4j脆弱性（2021）：オープンソース依存の連鎖で影響範囲特定が長期化。

関連規格・制度

• NIST SP 800-161：サプライチェーンリスクマネジメント。
• ISO/IEC 27036：情報セキュリティの委託先管理。
• ISMAP：政府情報システム向けセキュリティ評価制度（日本）。
• 米国大統領令14028（2021）：SBOM（Software Bill of Materials）要求。

試験での位置づけ

FE「ストラテジ／セキュリティガバナンス」分野で頻出。応用情報・SCではガイドライン全文、CISO・CSIRT役割、サードパーティリスク管理、SBOM、ゼロトラスト戦略まで踏み込む。

選択肢の発展補足

aの個人利用者対策はメーカ・ISP等の啓発義務にとどまる。bの株主は経営陣を選任する立場であり、最近はESG投資家がサイバーリスク開示を要求（SEC開示義務化、米国2023）。サイバーセキュリティ開示は企業価値評価に直結する経営課題に発展している。