この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
1 スコープ
この文書は、サプライ チェーンのセキュリティとサプライ チェーンのビジネス管理の側面に焦点を当てています。この文書では、「誠実に構築する」信頼できるテクノロジー プロバイダーとみなされるためにプロバイダーが何をすべきかについて包括的な見解を示しています。これには、プロバイダーが自社の内部製品ライフサイクル プロセス、つまり製品開発の「社内」であり、より直接的な運用管理を行う部分に組み込むプラクティスが含まれます。さらに、サードパーティのハードウェアまたはソフトウェア コンポーネントを組み込む場合、または外部の製造、配送、またはサポート サービスに依存する場合に従う必要があるプロバイダーのサプライ チェーン セキュリティ慣行も含まれます。
この文書では、プロバイダーとサプライヤーを区別しています。サプライヤーは、コンポーネントまたはソリューション (ソフトウェアまたはハードウェア) をプロバイダーまたはインテグレーターに供給する上流ベンダーです。プロバイダーは、COTS ICT 製品を下流のインテグレーターまたはアクワイアラーに直接供給するベンダーです。
この文書に含まれるガイドライン、要件、推奨事項は、規模に関係なくプロバイダーとそのサプライヤーに広く採用されるべきであり、業界全体に利益をもたらします。
このバージョンの O-TTPS では、次の要素は範囲外とみなされます。
- この文書は、買収者に対するガイドライン、要件、推奨事項には焦点を当てていません。 OTTF は、ガイドなどの別個の補完的な出版物でこの領域に取り組むことを検討しています。一方、買収者には、調達した製品やコンポーネントが誠実に製造されていることを保証する役割があります。買収者がそれを行う方法の 1 つは、プロバイダー、サプライヤー、インテグレーターに信頼できるテクノロジー プロバイダーであることを要求することです。もう1つの方法は、買収者がグレーマーケットのサプライヤーからハードウェアまたはソフトウェアのサポートを受けることを選択した場合、それは自己の責任であり、通常は正規のプロバイダーの影響を受けないことを認識して、故意に「グレーマーケット」をサポートしないことです。この文書は、ソフトウェアまたはハードウェアを構築する際にプロバイダーが従うべきすべての慣行について包括的に説明することを意図したものではありません。プロバイダーが高品質の製品を生産するために実装できる基本的なベスト プラクティスのより包括的なセットについては、読者は O-TTPF ガイドを参照してください。
- このバージョンは、オンライン サービスの運用またはホスティング インフラストラクチャには適用されませんが、それらのサービスで利用される限り、COTS ICT 製品には適用できます。
この文書は、ISO/IEC 15408 (共通基準) など、製品セキュリティ機能と製品情報保証を対象とする既存の標準を補完します。
1.1 適合性
Open Group は、サプライ チェーンのセキュリティに関心を持つすべての関係者にとって有用なツールとして、O-TTPS の適合基準、評価手順、認証ポリシーとプログラムを開発し、維持しています。
適合要件と評価手順は、O-TTPS のPart 2: O-TTPS の評価手順で参照できます。
認証により、O-TTPS への適合性が正式に認められ、次のことが可能になります。
- プロバイダーと実務者は、O-TTPS への適合性を明確に主張し、実証する必要があります。
- 取得者は、O-TTPS に準拠するプロバイダーを指定して適切に調達する必要があります。
1.2 今後の方向性
OTTF は、将来のバージョンでベスト プラクティスの要件と推奨事項を使用して、追加の可能性のある脅威とリスクに対処する予定です。
OTTF は、この文書に対する認証を求めるさまざまなクラスの信頼できるテクノロジー プロバイダーに対して追加のガイダンスを提供する予定です。
1 Scope
This document is focused on the security of the supply chain versus the business management aspects of the supply chain. This document takes a comprehensive view about what providers should do in order to be considered a Trusted Technology Provider that “builds with integrity”. This includes practices that providers incorporate in their own internal product lifecycle processes, that portion of product development that is “in-house” and over which they have more direct operational control. Additionally, it includes the provider’s supply chain security practices that need to be followed when incorporating third-party hardware or software components, or when depending on external manufacturing and delivery or supportive services.
The document makes a distinction between provider and supplier. Suppliers are those upstream vendors who supply components or solutions (software or hardware) to providers or integrators. Providers are those vendors who supply COTS ICT products directly to the downstream integrator or acquirer.
The guidelines, requirements, and recommendations included in this document should be widely adopted by providers and their suppliers regardless of size and will provide benefits throughout the industry.
For this version of the O-TTPS, the following elements are considered out of scope:
- This document does not focus on guidelines, requirements, and recommendations for the acquirer; the OTTF is considering addressing this area in a separate, complementary publication, such as a Guide.In the meantime, an acquirer does have a role to play in assuring that the products and components they procure are built with integrity. One of the ways that the acquirer can do that is to require their providers, suppliers, and integrators to be Trusted Technology Providers. Another way is to not knowingly support the “grey market”, realizing that if an acquirer elects to receive hardware or software support from grey market suppliers, it is at their own risk and generally outside of the influence of the legitimate provider.This document is not meant to be comprehensive as to all practices that a provider should follow when building software or hardware; for a more comprehensive set of foundational best practices that a provider could implement to produce good quality products, readers can refer to the O-TTPF Guide.
- This version does not apply to the operation or hosting infrastructure of online services, but it can apply to COTS ICT products in as far as they are utilized by those services.
This document complements existing standards covering product security functionality and product information assurance, such as ISO/IEC 15408 (Common Criteria).
1.1 Conformance
The Open Group has developed and maintains conformance criteria, assessment procedures, and a Certification Policy and Program for the O-TTPS as a useful tool for all constituents with an interest in supply chain security.
The conformance requirements and assessment procedures are available in the O-TTPS, Part 2: Assessment Procedures for the O-TTPS.
Certification provides formal recognition of conformance to the O-TTPS, which allows:
- Providers and practitioners to make and substantiate clear claims of conformance to the O-TTPS
- Acquirers to specify and successfully procure from providers who conform to the O-TTPS
1.2 Future Directions
The OTTF intends to address possible additional threats and risks with best practice requirements and recommendations in a future version.
The OTTF intends to offer additional guidance for different classes of Trusted Technology Providers seeking certification against this document.