サプライチェーンリスク管理の必須コンポーネント 『デューデリジェンス』
当社では技術提携をしているイスラエル企業のブログや報告書を紹介しています。
今回は当社の「サプライチェーンリスク評価サービス」で技術提携をしているPanorays社のブログ『サプライチェーンリスク管理の必須コンポーネント デューデリジェンス』を紹介します。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
Aviva Spotts @Panorays | 2022年6月29日
サプライチェーンにおけるデューデリジェンスとは
今日では、ビジネスの大小に関わらず、委託先などとは契約が成立して初めて、ビジネスを行うことが可能になります。私たちは、製品またはサービスを提供するあらゆる企業と契約を交わし、相互依存という形で日々のビジネスや業務を行っており、こうしたサプライチェーンとの取引においては、取引先のサイバーセキュリティ態勢というものも把握しておく必要があります。サプライチェーンがセキュリティ侵害に遭うと、直接的、間接的に影響や被害を受ける可能性があり、2020年の調査報告書『Cyber Defender 2020』では、データ侵害のうち44%がサードパーティに起因すると報告されています。各サードパーティに対し、適切な注意を払うことは、サイバーセキュリティのベストプラクティスの一つと言っても過言ではない時代なのです。 2020年の調査報告書『Cyber Defender 2020』についてはこちら(外部・英語)
サプライチェーンのデューデリジェンスの目的とは、委託を予定している対象企業を調査、評価し、検証することです。こちらが求める水準の成果物を納品できるのか、満足のいくサービスを提供できるのかという要件を事前に確認するのと同様に、セキュリティ要件を満たしているか、または満たすための改善努力を行う体制があるか否かを見定め、委託先の選定を行います。また、実際に取引が始まった後も、継続的にセキュリティ態勢を監視する必要があります。このプロセスを怠ると、リスクがより高くなったり、自組織で完結していた場合とは異なる新たなリスクが発生したりする場合もあります。
デューデリジェンス チェックリスト
チェックリストは、調査を実施するための枠組みです。チェックリストの具体的な項目とそれぞれに含まれるべき詳細の設問は、委託する業務内容や規模によって異なりますが、一般的には以下のようなカテゴリを含みます。
- 一般的なビジネス情報
- 財務状況
- 風評、訴訟の有無
- 保険の補償範囲
- 運用ポリシー
- サイバーセキュリティ態勢
こうした項目の評価は、非常に複雑で時間がかかる場合があります。すべての委託先に同じレベルの注意を払うことは、時間や人員的にもリソースの浪費になる可能性があります。文房具などの事務用品を納品する人には、経歴のチェックだけで十分かもしれませんが、IT請負業者や金融業者は、より詳細で厳格な評価を必要とします。したがって、適切な評価プロセスを確立するための最初のステップは、ビジネスコンテキスト(関係性)とそれに付随するリスクをもとに委託先を分類、または対応のための優先順位付けすることです。その後、候補ごとに適切な量のリソースを振り分けていきます。
リスク別 優先順位付け
サプライチェーンである委託先に対し、優先順位を付けるために注力すべき項目の一つは、組織にもたらすリスクの程度です。
「この委託先でセキュリティ侵害が発生した場合、どのような影響が自組織に有り得るのか?」と自問してみましょう。
- 一般的な委託先:ネットワークやデータにアクセス権なし
- 機密情報を扱う委託先:顧客情報や最新の開発情報など、機密情報にアクセス可能
- 戦略的委託先:この連携が滞ると日々の業務やビジネスが成り立たない
アタックサーフェス分析
委託先の公開されたているデジタルフットプリントを調べ、IT資産のサイバーセキュリティ態勢を評価することは可能です。この手の評価には、ITやネットワーク(サーバやアプリケーションの設定情報)、アプリケーションとその使用方法(ドメイン情報や公開サーバなど)を含める必要があります。また、従業員のSNSの利用を含め、セキュリティ要員の有効性など、運用に携わる人間的側面も評価する必要があります。今日ではこうした評価を短時間で自動的に行う非侵入型のソリューションも複数存在しています。
プロセスの自動化
サイバーセキュリティ態勢に関する質問票は、デューデリジェンの重要な要素です。委託先となり得る企業のアセットに対する潜在的な脅威など、該当企業のサイバーセキュリティ態勢を見極めるのに役立ちます。質問票の作成から、送付、回答、評価、結果の管理と一連のプロセスには非常に時間も労力も要します。評価される側の企業との関係性に応じて、質問票をカスタマイズする必要もあるでしょう。こうした質問票に関する全てをエクセルなどでマニュアル管理している組織もあるかと思いますが、このプロセスを自動化したソリューションも存在します。貴重なリソースを有効に使うためにソリューションを採用することも考えてみましょう。
リスクの継続的な監視
契約が結ばれた後もデューデリジェンスは続きます。委託先のネットワークやアセット、またそれらに関わる脅威状況は、時間の経過とともに変化が生じます。影響を与える可能性のあるサイバーセキュリティ上の脅威を軽減するために、委託先のセキュリティ態勢を継続的に監視するための運用のワークフローの構築が必要です。また、委託関係を終了すると、不要となったアクセス権と権限を削除するために、包括的な「契約解除時のワークフロー」の構築も必要になります。
組織をサプライチェーンに関係するリスクを軽減るためにも、デューデリジェンスをしっかり行いましょう。
Panoraysとは
サードパーティのセキュリティ態勢に関する可視性とコントロールは、自組織のセキュリティ態勢を維持する上で重要です。SOMPO CYBER SECURITYがサプライチェーンリスク評価サービスとして提供するサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」は、内部評価(自動化されたセキュリティに関する質問票)と外部評価(アタックサーフェスの評価)をビジネス上の関係性を考慮に入れて、総合的にサードパーティを評価し、リスクを迅速かつ正確に把握できるようにします。継続的にサードパーティを監視および評価し、日々変化を続けるサイバー空間の脅威や侵害に関するアラートを提供することで、グループ会社やサプライチェーンといったサードパーティの侵害に対し、迅速かつ包括的に対応し、修復し、復旧する為に役立ちます。
現状を把握し、リスクの軽減に取り組んでみませんか?
Panoraysの詳細はこちらをご覧ください。
