サプライチェーンのリスク評価　～5つの重要な機能～

今回はグループ会社やサプライチェーンに対するセキュリティ対策で技術提携をしているPanorays Ltd.のブログ『サプライチェーンのリスク評価　～5つの重要な機能～』を紹介します。

みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。

Yaffa Klugerman@Panorays | 2020年1月22日

セキュリティ、およびコンプライアンスの専門家は、サードパーティのサイバーセキュリティリスクマネジメントが組織にとって極めて重要であるとの認識を示しています。正しいセキュリティポリシーや手順が整っていない組織は、関連するグループ会社やサプライチェーンといった第三者経由のデータ侵害に対し、脆弱である可能性があります。これにより、顧客からの信頼を失うだけでなく、厳しいコンプライアンスの罰則を課せられる可能性もあり、多大な損失の原因になりかねません。

ここで言う「サードパーティ」とはグループ会社やサプライチェーンのことを指します。

こうしたサードパーティのサイバーリスク管理を謳うツールは複数存在します。

必要な機能は何なのか、代表的なものを5つ見てみましょう。

1. インベントリ管理

インベントリ管理とは、つまりはデータを共有したりしている関係先を知ることを意味します。

ベンダーに限らずグループ会社やサプライチェーンなどのいわゆるサードパーティのリスク管理プログラムを作成する上での第一歩となるものがインベントリ管理です。一見、容易なことのように思われるかもしれませんが、小規模事業主であっても、クラウドアプリの利用やシャドーITの増加を考えると、思っていたより難しいことがよくあります。実際、2027年までにはIT関連の支出の90％が自社組織外（業務委託）への支出になるだろうと指摘する人もいるぐらいです。

マーケティングツールなどの比較的リスクの低いビジネスパートナーを「ベンダーである」とみなしていない場合が多いようです。しかし、こうした「比較的リスクの低い」ビジネスパートナーであっても、リスクが容易に生じる可能性があります。過去にはイベントの招待状を作成するオンライサービス「Evite」で起きたデータ侵害で、何百万人ものユーザ情報が漏えいする事件がありました。Eviteの事業自体はB2C（法人向け）ではあったものの、このインシデントでは同サービスを利用した企業のユーザ情報だけでなく、招待状の送付先情報も漏洩したと報じられています。

グループ会社であれ、サプライヤーであれ、外部組織とビジネスを行うということは、何らかのリスクをもたらす可能性があるということです。このため、すべてのサードパーティとの関係性を明らかにし、理想を言えばアセット検出ツールを用いて、各組織のリスクレベルを判断することが重要です。

2. 業界のリスク管理基準

多くの産業界は、関連組織がNISTやISOが定めるセキュリティ基準に関する指針やベストプラクティスを提案しています。CSA Cloud Controls Matrix（CCM）やPCI/DSSなど、よく理解しておく必要がある業界もあります。業界固有のガイドラインを必ず確認しておきましょう。

各業界で推奨されるベストプラクティスを理解し、サードパーティのセキュリティ管理プロセスの一環として組み込むことが重要です。

3. サードパーティの管理を目的とする質問票

サードパーティに質問票を送付し、彼らのセキュリティポリシーやその実践・統制について確認をします。サードパーティのリスク管理を目的とする質問票は、通常、ベンダーであれば、委託や協業を開始する前に記入してもらい、定期的に更新するものです。これらのセキュリティ評価は、サードパーティに関連したリスクを軽減するために不可欠ですが、エクセルなどで管理している場合は、記入や管理が複雑になる可能性があります。また質問票の内容は、そのサードパーティが持つデータアクセスの種類に応じてカスタマイズする必要もあります。

自動化され、追跡と返信が簡単に行えるソリューションもあります。また、SIG（Standardized Information Gatheringと呼ばれるShared Assessments社の標準化された調査票）のような調査票のテンプレートを利用できるソリューションもあります。自社の運用に合ったアンケートが使えるソリューションを検討しましょう。また、GDPRやCCPAのような規則や規制への準拠をチェックできるアンケートを利用することも役立ちます。

こうしたセキュリティ態勢に関する質問票が非常に役に立つのは事実です。しかし、サードパーティのサイバーリスク評価を行う上では、この結果だけに頼るわけにはいきません。セキュリティリスクは絶えず変化しており、そのためには、セキュリティスコアリングや継続的なモニタリングなどの他の評価方法で質問票による調査結果を補完することが重要です。

4. セキュリティスコアリング

セキュリティスコアリングは、組織のアタックサーフェス（攻撃対象領域）を評価することで、第三者のセキュリティ態勢の全体像を明らかにします。問題のある個所を特定し、解決策、対応策を指示し、事業に関わるセキュリティ態勢の変化についてサードパーティである関連組織を継続的に監視することができます。

とは言え、前出の調査票と同じく、サードパーティのサイバーリスクを総合的に評価する上では、この結果だけに頼るわけにはいきません。こうしたスコアリングは、サードパーティを適切に評価するために必要な情報の一部に過ぎません。セキュリティ態勢をさまざまな角度から評価する必要性があり、アタックサーフェスに関する外部からの評価とセキュリティに関する質問票を組み合わせることが重要です。

5. サードパーティのリスク管理ソフトウェア

規模の大きな組織は、委託先や協業先、グループ会社など、何百、何千ものサードパーティと関わりつつ、日々の業務を遂行しています。単純なサードパーティリストを作成するだけでは十分な対策とは言えず、ソフトウェアによるリスク管理を導入する組織も少なくありません。包括的なサイバーセキュリティ評価には特別な専門知識が必要です。このようなソリューションは、第三者のセキュリティを評価し、セキュリティ態勢の変化について継続的に監視するためのプロセスを提供します。

上記の5つの要素すべて含まれているのがサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」です。Panoraysはグループ会社やサプライチェーンのセキュリティ対策状況をスコアリングし、一元管理を実現するサイバーセキュリティリスク評価プラットフォームです。グループ会社やサプライチェーン全体の弱点を可視化し、システムや担当者に負荷をかけることなく、効率的かつ継続的にモニタリングすることでガバナンス強化やリスク軽減をサポートします。