サードパーティリスクマネジメント ~TPSRMを確立する~
この記事では、セキュリティ上の脅威に備えるサードパーティリスクマネジメントの概要と実際のステップを、現状や課題も視野に入れつつ紹介していきます。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
組織経営の中のサードパーティリスクマネジメント
今日の企業にとってリスクマネジメントは不可欠な活動です。
将来起こる可能性のあるリスクを洗い出し、評価し対応していくことは、企業のミッションを達成するためになくてはならない取り組みとなっています。
企業が戦略的に着手すべきリスクの1つに、サードパーティリスクがあります。このリスクに備える活動やフレームワークが、サードパーティリスクマネジメント(Third Party Risk Management、TPRM)です。
サードパーティリスクマネジメントは、自組織とその直接の関係主体を取り巻くサードパーティに内在するリスクを管理するコンセプトです。
グローバル化、デジタル化の進んだ現在、企業はエコシステムの中に無数のサードパーティを抱えています。そこには企業の活動を維持するための多数の事業者、団体が存在します。
サプライチェーンを構成する各企業、委託業者、販売代理店、ITベンダー、クラウドサービス事業者、パートナー、関連団体や業界団体など、サードパーティの構成要素は多岐にわたり、またその拠点も全世界に散在しています。
このような複雑なサードパーティの全貌や各主体の体制を把握し、リスクアセスメントと対応を推進していくのが、サードパーティリスクマネジメントの基本的な目的です。
TPSRMの重要性は増大している
サードパーティリスクマネジメントの中で特に重要性が増しているのが、サイバーセキュリティ分野です。サイバーリスクや外部委託リスクとも交差するこの領域は、「TPSRM(Third Party Security Risk Management)」と呼称されています。
TPSRMが企業経営にとって喫緊の課題となった理由として挙げられるのが、以下に挙げる4つの情勢です。
サードパーティの拡大
企業活動が多数のサードパーティを必要とすることは前項で述べました。例えばサプライヤーは日本国内にとどまらず、海外各地に存在している状態が一般的です。
情報資産の管理方法も昔とは大きく変わり、企業は自社に関わる機密情報や顧客情報を、委託業者やITベンダー、クラウドサービスと共有しているケースが多いです。
SOMPO CYBER SECURITYが提携するPanorays社の調査では、今日の企業は、平均583社と自社の重要情報を共有しているとのことです。
自組織をとりまくサードパーティの円は広がり続けており、その全体像を正確に把握すること自体が大きな課題となっています。
サプライチェーン攻撃の高度化
サードパーティの中で大きな割合を占めるのが、製品・サービスの調達から加工・在庫管理・流通・販売にいたるまでのプロセスを形成するサプライチェーンです。
サプライチェーンに対するサイバー攻撃はインターネットの歴史とともに存在していますが、国家や社会、企業がオンラインでつながるにつれてその頻度や危険性も増しています。
2020年に発生したロシア情報機関による大規模サイバー攻撃では、米SolarWinds社のシステムがマルウェア拡散の足がかりにされ、米連邦政府機関や多数のITベンダー、そしてかれらの顧客が影響を受けました。
国内においても、部品サプライヤーを狙った自動車メーカーに対するランサムウェア攻撃や、決済システム事業者へのハッキングに起因する顧客情報の流出など、高度なサプライチェーン攻撃が絶えず発生しています。
クラウド技術の発達や、アウトソーシング、オフショア開発の拡大といったトレンドが、サイバー犯罪者の活動を助長し、また組織側の対策を難しくしています。
サイバー攻撃の被害が拡大
企業における情報資産の価値は、設備や土地といった固定資産と比較して年々上昇し続けています。企業活動では、自社の製品・サービスに係る機密情報だけでなく、顧客の個人情報、あるいは顧客の金融資産そのものを取り扱います。
サイバー攻撃によってこのような情報が漏洩した場合の金銭的・社会的損失は甚大です。
情報漏洩が発生したときに企業が被るコストは平均380万ドル(約5億2000万円)とされ、さらに、サードパーティが情報漏洩を起こしたときの追加コストは平均37万ドル(約5200万円)であると、2020年に米シンクタンクPonemon Instituteが発表しています。
サイバー攻撃は強盗や窃盗と異なりローリスクハイリターンの犯罪行為であるため、件数は年々増加しています。発生可能性を鑑みると、無視や後回しにできない重大リスクであるといえます。
法規制の強化
最後に、サイバー攻撃やサイバーセキュリティに関する各国の規制強化も考慮すべき要素です。
企業は規制当局から、サイバーリスクに対し必要な投資を行い、セキュリティ態勢の確立と適切な運用を行っていると明確に提示するよう要求されています。この要求にはサードパーティの適切な管理も含まれます。
EUのGDPR(個人データ保護規則)は、EU市民の個人情報を取り扱う海外企業にも適用されます。また我が国においても改正個人情報保護法が個人情報のより厳格な管理と権利保護を求めています。
TPSRMを特に実践すべき業界
TPSRMは企業経営における重要な課題ですが、以下に示す業界は特に戦略的なマネジメント体制確立と継続運用が求められます。
金融・FinTech業界
金融・FinTech業界は顧客の金融資産を扱うことから厳格な法規制を受ける分野です。適切なリスク管理を怠った場合、多大な損失や行政処分を受ける可能性があります。また金融資産を扱う事業者がサプライチェーン攻撃などを受けて顧客の資産を消失させてしまった場合の信用損失リスクは計り知れません。
医療業界
医療業界は患者の人命を預かるという性質上、高い水準での業務継続性を要求される領域です。このためランサムウェア犯罪などの格好な標的となっています。病院・医療機関は患者の健康に関わる個人情報をサードパーティと共有しているため、医療機器ベンダーや委託事業者を含めたデータ保護・管理施策が不可欠です。
エネルギー業界
電気・ガス・水道・石油など社会の重要基盤を担うエネルギー業界にとってもTPSRMは必須です。社会経済活動の根幹をなすインフラストラクチャをサイバー攻撃から守るためには、自社だけでなくサードパーティ全体のセキュリティ態勢が整備されていなければなりません。
また件数こそ少ないものの、国家機関の関与するサイバー攻撃に狙われるケースも存在します。
TPSRMの課題
TPSRMを確立することの必要性は広く認識されていますが、その実践には多くの課題・障壁があります。
複数のセキュリティベンダーが実施したアンケート調査では、多くの企業・団体がTPSRMの必要性を感じつつも、十分な対策をとれていないと回答しています。
サードパーティの全貌がわからない
企業にとって第一のハードルは、自社を取り巻くサードパーティを正しく定義することです。
直接の取引先やサプライチェーンを超えたサードパーティの数は多く、把握する作業も一筋縄ではいかないのが現状です。サードパーティを特定できなければ、そこに付随するリスクを正しく評価することもできません。
リスク調査にコストがかかる
サードパーティを構成する企業や団体のサイバーリスク管理状況を掌握するには多大なコストがかかります。
一般的には、各種セキュリティ基準やセキュリティ規則の整備・順守状況を点検するために、スプレッドシートによる管理が行われています。しかしその煩雑さから、工数がかかるだけでなく、正確さにも疑問の生じる活動となりがちです。
セキュリティ統制の難しさ
TPSRMでは、サードパーティに特定のセキュリティ対策導入を促す場面があります。しかし、直接資本関係にないサプライヤーや、海外拠点・子会社、ジョイントベンチャー等に対する施策・製品導入の統制は非常に困難です。結果として、対策に予算を割く余裕のない中小企業などが、攻撃者につけ込まれる弱点となってしまいます。
TPSRMでとるべき4つのステップ
こうした課題を踏まえて、企業が適切なTPSRMを確立するにはどのような計画を立てればよいのでしょうか。
基本的には、リスクマネジメントの原則である特定、評価、対応に沿った施策を進めていくのが理想的です。
1. サードパーティを洗い出す
まずはサードパーティを特定し、各主体が自社の業務に対してどのような役割を担っているかを整理します。
例えば生産ラインの稼働を担う重要なサプライヤーや、機密情報を共有する関係会社、顧客情報の処理を委託しているベンダー、基幹システムで利用するクラウド事業者などは、サードパーティの中でも優先してガバナンスを効かせるべき主体と規定できます。
各主体を組織の業務や目的に沿って重みづけすることで、効率的な予算配分や対応計画が可能になります。
2. リスクを可視化する
続いて調査(アセスメント)によりリスクを可視化し、現状を把握します。サイバーセキュリティに関連するリスクアセスメントとしては、セキュリティポリシーや法規の対応状況、セキュリティ対策の導入・履行状況、また実際のサイバー攻撃を想定した攻撃可能箇所の特定などが項目として挙げられます。
重要なのは、攻撃可能箇所、例えばインターネット上に公開されている機器やシステム、Webサイトの対策状況を見るだけでなく、組織としてセキュリティマネジメント体制が確立しているか、それが文書規則として明文化され、正しく運用されているかをチェックすることです。
個人情報保護や、業界として規制を受けている金融・インフラ部門に関しては、リスクを見誤った場合に想定外の損失を被るおそれがあります。
3. 対策によってリスクを低減する
サードパーティの特定とリスクアセスメントを通じて明らかになったセキュリティリスクを、各主体の担当者とコミュニケーションをとりながら、優先度をつけて対応していきます。
対策の指針としては、米国標準技術研究所(NIST)が公開しているサイバーセキュリティフレームワークや、ISO27001などを参考にすることができます。
セキュリティ部門はコストセンターです。優先度や緊急性を考慮せずに対策を実行していくことは、予算の面からも現実性の点からも困難です。
4. 継続的にモニタリング・改善する
サードパーティのセキュリティリスクは外部情勢によって変化します。サードパーティの増加やセキュリティ動向などを常にモニターし、継続してリスク管理を行うことでTPSRMを確立します。
まとめ
TPSRM、すなわちサードパーティのセキュリティ態勢を管理する活動は、企業のサイバーセキュリティ態勢を維持する上で重要です。
SOMPO CYBER SECURITYがサードパーティリスク評価サービスとして提供するリスク評価プラットフォーム「Panorays」は、内部評価(自動化されたセキュリティ規則・運用に関する質問票)と外部評価(アタックサーフェスの評価)をビジネス上の関係性を考慮に入れて、総合的にサードパーティを評価し、リスクを迅速かつ正確に把握できるようにします。
継続的にサードパーティを監視および評価し、日々変化を続けるサイバー空間の脅威や侵害に関するアラートを提供することで、グループ会社やサプライチェーンといったサードパーティの侵害に対し、素早く的確に対応することができます。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
