サプライチェーンリスクマネジメント（SCRM）

SCRMとは、ひとことで言えば、製品・サービス・部品の調達経路全体に潜むセキュリティリスクを特定・評価・対応する管理活動です。たとえば、ソフトウェアの第三者ライブラリにバックドアが仕込まれるSolarWinds事件のような「ソフトウェアサプライチェーン攻撃」が代表的な脅威です。自社の防御がいくら堅牢でも、信頼するベンダーが侵害されれば被害が連鎖するため、SBOM（ソフトウェア部品表）の整備、ベンダー監査、契約上のセキュリティ要件付与などの取り組みが重視されています。NIST SP 800-161が代表的なガイダンスです。