委託先管理

ソフトウェアを構成するコンポーネント（ライブラリ、モジュールなど）の一覧とその依存関係を記録したリスト。サプライチェーンにおけるソフトウェアの脆弱性管理に活用され、脆弱性が発見された際の影響範囲の特定を迅速化する。

システムの構成や設定の変更を計画的かつ安全に実施するためのプロセス。変更要求の記録・分類、影響評価、承認、実施、レビューの手順を含む。不正な変更や設定ミスによるセキュリティリスクを低減し、変更の追跡可能性（トレーサビリティ）を確保する。

システムを構成するハードウェア、ソフトウェア、ネットワーク機器などの構成品目（CI）を識別・記録し、その状態を管理するプロセス。CMDB（構成管理データベース）に正確な構成情報を維持することで、脆弱性の影響範囲特定やインシデント対応を迅速に行える。

管理者アカウントなどの特権的なアクセス権の割当て・利用を厳格に管理する仕組み。特権IDの共有禁止、利用時の承認プロセス、操作ログの記録・監視などを行う。内部不正や外部攻撃者による特権の悪用を防止する。

委託先やビジネスパートナー、製品・サービスの提供元を経由して発生する情報セキュリティリスク。委託先からの情報漏洩、ソフトウェアの脆弱性の混入、悪意あるコードの埋め込みなどが含まれる。SBOMの活用やセキュリティ要件の契約明記が対策となる。

標的組織を直接攻撃するのではなく、その取引先やソフトウェアの供給元を経由して攻撃する手法。ソフトウェアアップデートの改ざん、オープンソースライブラリへの悪意あるコードの混入などが代表的な手口。