SOMPO CYBER SECURITY
当社では技術提携をしているイスラエル企業のブログや報告書を紹介しています。
今回は当社の「サプライチェーンリスク評価サービス」で技術提携をしているPanorays社のブログ『サプライチェーンリスク管理の必須コンポーネント デューデリジェンス』を紹介します。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
Aviva Spotts @Panorays | 2022年6月29日
今日では、ビジネスの大小に関わらず、委託先などとは契約が成立して初めて、ビジネスを行うことが可能になります。私たちは、製品またはサービスを提供するあらゆる企業と契約を交わし、相互依存という形で日々のビジネスや業務を行っており、こうしたサプライチェーンとの取引においては、取引先のサイバーセキュリティ態勢というものも把握しておく必要があります。サプライチェーンがセキュリティ侵害に遭うと、直接的、間接的に影響や被害を受ける可能性があり、2020年の調査報告書『Cyber Defender 2020』では、データ侵害のうち44%がサードパーティに起因すると報告されています。各サードパーティに対し、適切な注意を払うことは、サイバーセキュリティのベストプラクティスの一つと言っても過言ではない時代なのです。 2020年の調査報告書『Cyber Defender 2020』についてはこちら(外部・英語)
サプライチェーンのデューデリジェンスの目的とは、委託を予定している対象企業を調査、評価し、検証することです。こちらが求める水準の成果物を納品できるのか、満足のいくサービスを提供できるのかという要件を事前に確認するのと同様に、セキュリティ要件を満たしているか、または満たすための改善努力を行う体制があるか否かを見定め、委託先の選定を行います。また、実際に取引が始まった後も、継続的にセキュリティ態勢を監視する必要があります。このプロセスを怠ると、リスクがより高くなったり、自組織で完結していた場合とは異なる新たなリスクが発生したりする場合もあります。
チェックリストは、調査を実施するための枠組みです。チェックリストの具体的な項目とそれぞれに含まれるべき詳細の設問は、委託する業務内容や規模によって異なりますが、一般的には以下のようなカテゴリを含みます。
こうした項目の評価は、非常に複雑で時間がかかる場合があります。すべての委託先に同じレベルの注意を払うことは、時間や人員的にもリソースの浪費になる可能性があります。文房具などの事務用品を納品する人には、経歴のチェックだけで十分かもしれませんが、IT請負業者や金融業者は、より詳細で厳格な評価を必要とします。したがって、適切な評価プロセスを確立するための最初のステップは、ビジネスコンテキスト(関係性)とそれに付随するリスクをもとに委託先を分類、または対応のための優先順位付けすることです。その後、候補ごとに適切な量のリソースを振り分けていきます。
サプライチェーンである委託先に対し、優先順位を付けるために注力すべき項目の一つは、組織にもたらすリスクの程度です。
「この委託先でセキュリティ侵害が発生した場合、どのような影響が自組織に有り得るのか?」と自問してみましょう。
委託先の公開されたているデジタルフットプリントを調べ、IT資産のサイバーセキュリティ態勢を評価することは可能です。この手の評価には、ITやネットワーク(サーバやアプリケーションの設定情報)、アプリケーションとその使用方法(ドメイン情報や公開サーバなど)を含める必要があります。また、従業員のSNSの利用を含め、セキュリティ要員の有効性など、運用に携わる人間的側面も評価する必要があります。今日ではこうした評価を短時間で自動的に行う非侵入型のソリューションも複数存在しています。
サイバーセキュリティ態勢に関する質問票は、デューデリジェンの重要な要素です。委託先となり得る企業のアセットに対する潜在的な脅威など、該当企業のサイバーセキュリティ態勢を見極めるのに役立ちます。質問票の作成から、送付、回答、評価、結果の管理と一連のプロセスには非常に時間も労力も要します。評価される側の企業との関係性に応じて、質問票をカスタマイズする必要もあるでしょう。こうした質問票に関する全てをエクセルなどでマニュアル管理している組織もあるかと思いますが、このプロセスを自動化したソリューションも存在します。貴重なリソースを有効に使うためにソリューションを採用することも考えてみましょう。
契約が結ばれた後もデューデリジェンスは続きます。委託先のネットワークやアセット、またそれらに関わる脅威状況は、時間の経過とともに変化が生じます。影響を与える可能性のあるサイバーセキュリティ上の脅威を軽減するために、委託先のセキュリティ態勢を継続的に監視するための運用のワークフローの構築が必要です。また、委託関係を終了すると、不要となったアクセス権と権限を削除するために、包括的な「契約解除時のワークフロー」の構築も必要になります。
組織をサプライチェーンに関係するリスクを軽減るためにも、デューデリジェンスをしっかり行いましょう。
サードパーティのセキュリティ態勢に関する可視性とコントロールは、自組織のセキュリティ態勢を維持する上で重要です。SOMPO CYBER SECURITYがサプライチェーンリスク評価サービスとして提供するサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」は、内部評価(自動化されたセキュリティに関する質問票)と外部評価(アタックサーフェスの評価)をビジネス上の関係性を考慮に入れて、総合的にサードパーティを評価し、リスクを迅速かつ正確に把握できるようにします。継続的にサードパーティを監視および評価し、日々変化を続けるサイバー空間の脅威や侵害に関するアラートを提供することで、グループ会社やサプライチェーンといったサードパーティの侵害に対し、迅速かつ包括的に対応し、修復し、復旧する為に役立ちます。
現状を把握し、リスクの軽減に取り組んでみませんか?
Panoraysの詳細はこちらをご覧ください。
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
サプライチェーンリスク評価サービス『Panorays』の採用事例として、株式会社ダイフクさまにお話をうかがいました。 近未来を想像させる大阪市内にある真新しい本社ビルで、サプライチェーンリスク評価サービス『Panorays』の採用事例の取材をさせて頂いたのは、日本国内外でビジネスを大きく成長させている製造大手の株式会社ダイフクさまです。実際の運用はまだこれからという段階であり、採用に至った背景や理...
当社が提供するサプライチェーンリスク評価サービス『Panorays』を使った組織のセキュリティ態勢強化の事例です。 日本国内外でビジネスを大きく成長させている製造大手の株式会社ダイフクさまの取り組みを紹介します。実際の運用はまだこれからという段階であり、採用に至った背景や理由をうかがうための取材だったのですが、大切な海外のロイヤルカスタマーから、サプライチェーンリスク管理の一環として、Panora...
イベント詳細・お申し込み(IIJ Globalサイトへ移動) 当社サプライチェーンリスク評価サービスPanoraysについてはこちら セミナー概要 サプライチェーンの強靭化、カーボンニュートラルへの移行、「もの売りからコト売り」へのシフト等、製造業は多くの対応を迫られています。製造現場における制御システムの領域においても、環境変化に対応すべく製造DXの取り組みが加速していますが、DXが進むほどサイ...