当社のセキュリティ プロセス
製品のサプライ チェーン
Lenovo の製品サプライ チェーンはこの 3 年にわたり、Gartner の上位 25 社にランクインしました。製品の開発、製造、および配送において重要な役割を果たしています。サプライ チェーンは、適格なサプライヤー ベースの管理と統制から始まります。このサプライヤー ベースは、開発と製造で使用される適格で安全なコンポーネントを提供します。
大量の重要なコンポーネントを、Lenovo に届くまでバーコードによって追跡し、サプライヤーの在庫およびアセンブリ プロセスで管理します。安全な物理的施設や安全なネットワークを含め、管理された安全な環境で製造が行われます。完成した製品は、不正開封の跡がすぐわかるシールを使用して箱やパレットに梱包します。発送元から客先への配達まで出荷品を追跡します。
下の図は、製品ライフサイクル全体を示します。サプライ チェーンには、サプライヤーと、Lenovo の製造およびテストとして識別される領域が含まれます。
さらに、ライフサイクルにわたって製品をサポートするのに必要な技術的な業務があります。製品を出荷したら、一般に、コンポーネントを検査して、寿命 (EOL) に達した部品を交換する必要があるほか、安全なプロセスを通じて BIOS/ファームウェアの更新を提供する必要もあります。これらは、製品の全体的なライフサイクル管理およびサポートの一部です。
製品の計画と開発には、製品ライフサイクルにわたる数多くの領域が含まれます。セキュリティとデータ可用性のニーズのバランスを保つために、プランニング業務は、最初に製品の構想を立てるときにセキュリティ要件を定義することから始めます。製品を設計およびテストする重要で安全な開発プロセスに対して、継続的な見直しと改善を組み込むために、機能強化を進めます。セキュリティ要件を文書化したら、Lenovo の製品開発チームは、新製品に適切な機能を組み込むための計画を立てます。開発フェーズでは次の領域に重点を置きます。
- 開発と検査
- BIOS/ファームウェア
- ソフトウェア
サプライヤーの管理と統制
テクノロジー デバイス メーカーの成功にとって、ODM、OEM、コンポーネント メーカー、BIOS およびソフトウェア プロバイダーなどの製品サプライ チェーンで強力なサプライヤー ベースを築くことは、きわめて重要です。それを実現するため、Lenovo は中核となるサプライヤーに資格を与えるためのプロセスを導入し、四半期ごとに正式にサプライヤーを評価しています。Lenovo サプライヤーの多くは、20 年以上にわたりパートナーを続けてきました。これらの関係は、慎重に管理され、新しいサプライヤーは厳密に評価されます。
Lenovo は、Trusted Supplier Program を通じてサプライヤーとの関係を強化してきました。このプログラムの目的は、文書化された監査可能なサプライ チェーン セキュリティ プログラムを、全体的な製品セキュリティ プロセスの一部として導入することにより、顧客のリスクを管理することです。Trusted Supplier Program では、顧客のセキュリティに影響を与える可能性がある、インテリジェント コンポーネントのサプライヤーと、ODM、OEM、および修理サービス プロバイダーに重点を置いています。
インテリジェント コンポーネントには、以下の要素が含まれます。
- マイクロプロセッサー上のソフトウェアまたはファームウェア プログラム
- マイクロプロセッサー自体
- データ処理能力を持つ半導体デバイス
- メモリーが内蔵されたコンポーネントまたはデバイス
- 入出力機能を実行するコンポーネントまたはデバイス
Lenovo は積極的かつ継続的にその調達要件を見直し、テクノロジー市場で生じたトレンドや脆弱性に遅れることなく、その先を行くことを目指しています。
Lenovo の製品とサプライ チェーンのセキュリティを確保するための取り組みは、米国の大手セキュリティ企業の 1 つである Chain Security, LLC に認められました。Lenovo のセキュリティ プロセス、コーポレート ガバナンス、およびサプライヤー プログラムに対する約 3 年間にわたる詳細な研究の末、このような結論に達したのです。この分析結果は 20 ページにわたる証明書であり、そこでは、Chain Security と Lenovo との連携、Lenovo がこの 2 年間に行ってきた変更と改善、これらのセキュリティ プロセスに関して Lenovo はおそらく業界の先を行っているという Chain Security の結論が詳しく述べられています。
証明書の全文を読むには、こちらをクリックしてください。
リスク管理
Lenovo はそのグローバル サプライ チェーンを利用して、顧客が信頼できるテクノロジー ソリューションを設計、構築、および提供できます。戦略的には、サプライ チェーンのリスクを管理するうえで従うべき重要な領域/ステップが 5 つあります。
- サプライ チェーンのリスクの可能性を特定する
- 特別な統制によって Lenovo のサプライ チェーンを保護する
- 問題を早期に検出することで、時間をかけて対応し、その選択肢を増やす
- できるだけ迅速に対応して、脅威を緩和する
- 回復力のあるサプライ チェーンを設計することにより、顧客へのサービスの途絶を最小限に抑えながら回復する
この戦略を実現するため、Lenovo は顧客とビジネス上のニーズを満たすようサプライ チェーン システムを継続的に評価して更新し、最適化しています。
- Lenovo は、サプライヤーとベンダーのコンプライアンス、セキュリティ、および財務健全性を定期的に監査しています。重要なコンポーネントの場合、複数のサプライヤー (複数のサプライヤー製造拠点) に対してニーズに関する評価が行われます。
- また、Lenovo は社内のプロセスを厳密に監視し、当社の統制力を定期的にテストしています。
顧客のニーズを満たす能力に影響を与える環境を監視、分析して管理し、最終的に軽減する必要があります。問題を早期に特定することにより、Lenovo は以下のことができます。
- 影響を最小限に抑えるようサプライ チェーンを調整する
- サプライヤーと協力して、問題を解決する
- 問題が解決しない場合は、サプライヤーを変更する
サプライ チェーンの顧客と Lenovo の両方のリスクを最小限に抑えることがきわめて重要です。
安全な製造
安全な製造拠点には、以下が必要です。
- 物理的な安全性: 精力的な実践と統制により、人体と物理的な工場の安全性を管理します。これには、アクセス管理と、訪問者および配送の監視が含まれます。
- 安全な製造プロセス: 内部の製造領域、製造プロセス、および制御を厳密に管理する一方で、主要なコンポーネントとサブアセンブリを電子的に追跡します。最終製品を検査し、安全性、信頼性、および機能の要件を満たしていることを確認するためのテストを行います。
- ソフトウェア イメージングおよび BIOS の安全な配布:顧客指定のイメージング (つまり、顧客が選択した OS とその他のアプリケーション ソフトウェアのプリインストール) と BIOS 設定は、製造プロセスにおいて機密性の高いステップです。Lenovo は細心の注意を払って、あらゆる外部からの改ざんからこれらを保護しています。
安全な物流
Lenovo の物流は、梱包、出荷、および配送にわたります。製品を製造してテストした後、不正開封の跡がすぐわかる材料を使用して製品を梱包し、出荷の準備を行います。それによって、問題を直ちに経路内で検出し、インシデントを調査できます。梱包後、Lenovo は資格のある物流サプライヤと連携して、最終顧客に製品を安全に配送します。出荷プロセス全体にわたる保護には、安全な施設、トラック、輸送、および厳密に審査された従業員、訪問者、および運転手が含まれます。出荷品は、それらが Lenovo の建物を出たときから客先に届けられるまで追跡されます。
ライフサイクル管理
Lenovo のセキュリティに対する責務は、製品が顧客の元に届けられた後も続きます。オペレーティング システムとアプリケーション ソフトウェア、チップセット、ファームウェア、および BIOS には、Lenovo だけでなく、電話会社を含めたそのエコシステム サプライヤーからの頻繁な更新を適用できます。 これらの更新は、スケジュールされた改良である場合もあれば、セキュリティの脆弱性を修正するために PSIRT が実施した対策である場合もあります。理由が何であれ、サプライヤーが Lenovo システムで使用されているコンポーネントの製造を終了したような場合でも、Lenovo は製品のライフサイクルにわたるソフトウェア更新とコンポーネントの安全な提供のためにプロセスを設定しています。それによって、サービスに使用できる新しい部品を検査する必要が生じます。Lenovo は、信頼されたサプライヤーのリストに載っているサプライヤーから交換用部品を調達するよう努めています。