サイバーリスク管理の要『サプライチェーンセキュリティリスク管理』の今 ~AIが課題克服をサポートする未来のセキュリティ戦略~(6/4)
サプライチェーンにおけるリスク管理の重要性の話は、今に始まったことではありません。しかし、私たちのビジネス環境は変化し続けていますし、サイバー攻撃も年々巧妙化・複雑化し続けています。こうした状況下では、リスク管理の手法もまた、絶えず進化していく必要があります。
「一度始めれば終わり」という考え方では対応できない、変化し続けるサプライチェーンリスク管理の課題と最新の対策について、本連載「サイバーリスク管理の要『サプライチェーンセキュリティリスク管理』の今」で3回にわたって掘り下げていきます。
初回となる今回は、AIが課題克服をサポートする未来のセキュリティ戦略と題し、サプライチェーンセキュリティリスク管理における主要な5つの課題に対し、AIがどのように革新的な解決策をもたらし得るのかを見ていきます。
はじめに
現代のビジネスは、コスト削減、効率化、そして顧客ニーズへの迅速な対応のために、他の企業との業務委託やパートナーシップが不可欠となっています。しかし、こうした連携は競争上の優位性をもたらす一方で、アタックサーフェスの拡大を招き、データ侵害のリスクを大幅に増加させていることは、既に広く知られています。情報セキュリティに携わる部署は、この増大するリスクに対処するために、専門人材の採用、育成の必要性に迫られたり、最新のテクノロジーが搭載されているツールを導入したりと、日々対応に追われますが、攻撃の手法が巧妙化、多様化する環境の中での対応は容易なことではありません。
そこで、近年、登場した新たな頼もしい味方が、AIです。
Gartnerは、2028年までにサプライチェーンセキュリティリスク管理製品の半数がAIを何らかの形で利用すると予測しており、これはサプライチェーンセキュリティリスク管理における変革期を示しています。AIを活用することで、リアルタイムの洞察と継続的なスキャン、モニタリングによりツールを強化し、ベンダーへの依存を減らし、リスクや課題を克服することが可能になります。
ツールを提供する多くの企業が、AI技術の活用によって、品質向上を達成した、あるいは今後達成すると謳っていますが、本コラムでは、サプライチェーンセキュリティリスク管理における5つの主要課題に焦点を当て、適切なAI駆動型ソリューションがこれらの課題に対し、具体的にどのような変革をもたらし得るのかを掘り下げていきます。
こうした課題に対し、AIがどのような解決策を提示し得るのかを見ていきましょう。
1.委託先評価サイクルの長期化
委託先や取引先などのセキュリティリスク評価は、多くの組織にとって、継続的な課題です。特に、数百、時には数千もの企業を管理する規模の大きな組織では、従来の質問票方式や手動でのリスク評価は、その効率性と実効性、客観性において限界を迎えています。Excelやスプレッドシートを使った管理は、もはや現代のビジネス環境においては時代遅れであり、遅延、エラー、そして評価サイクルの著しい長期化を招きます。この状況は、事業の停滞を招くだけでなく、セキュリティチームに過剰な負荷をかけ、疲弊させる原因となります。
現状
◦ 手作業に依存した評価プロセス:セキュリティ質問票の80%以上がMicrosoft WordまたはExcelでの集計・分析が中心となる形式であるという統計があり、評価プロセスの非効率性を示唆
◦ 評価結果への不信感:セキュリティチームの90%以上が、委託先から提出された質問票の回答のみに基づくセキュリティ対策の有効性に自信がないと回答しており、形式的な回答にとどまり、実質的なセキュリティレベルを正確に把握できていないかもしれないという懸念の表れ
◦ 膨大な工数:セキュリティチームの90%以上が、委託先や取引先のリスク管理に年間30日以上を消費し、本来注力すべき他の重要業務へのリソース不足を招いている現状
AIによる解決例(効率化と高度化)
AIの活用は、委託先評価プロセスの大幅な短縮と、より正確なリスク評価をもたらします。
◦ 評価プロセスの大幅な短縮: 情報収集、証拠分析、リスク対応支援、レポート作成といった評価プロセス全体の手動タスクを自動化し、長時間を要していた作業を大幅に圧縮
◦ 迅速かつ詳細なリスク特定と対策立案: ツールによっては、委託先や取引先のセキュリティプロファイリングを自動的に行い、管理上の課題や潜在的なリスクを即座に特定、具体的な推奨対策例を提示し、問題点の迅速な解消に寄与
◦ リアルタイムでの意思決定支援: ほぼリアルタイムのリスクレポートを作成できるツールも存在し、意思決定プロセスにかかる時間を大幅に短縮し、委託先や取引先からの回答を待つといった、従来の依存関係を解消
2.委託先の協力次第という依存状況
委託先や取引先に記入を依頼するセキュリティ質問票への対応は、多くの組織において大きな課題となっています。
現状
◦ 回答率の低さ: 委託先や取引先の75%がセキュリティ質問票に回答しない、または期限内に回答しないという状況で、調達の遅延や、最悪の場合、取引の断念につながる可能性
◦ 回答の質の低さ: 期限内に回答があったとしても、その内容が不完全、もしくは不正確であることも少なくないため、セキュリティチームの正確なリスク評価が難航
◦ セキュリティチームの負担とモチベーション低下: 回答率の低さや正確性の欠如、情報提供の遅延は、担当チームの負荷を高め、本来注力すべき業務への意欲を削ぐ要因に
◦ 回答する側のリソース不足: 委託先や取引先側もリソース不足に悩まされており、半数以上が質問票を時間内に完了できなかったために取引を失った経験ありと報告しており、質問票の負担が非評価者にとっても無視できないものであることを示唆
◦ 質問の数と頻度: 質問票の70%以上が101〜350の質問を含んでおり、一部組織は年間1,000件近くもの質問票を受け取っているという現実があり、評価者にとっても、非評価者にとっても非効率の原因
AIによる解決例(効率化と継続性)
このような委託先の協力への依存という課題に対し、AIを活用することで、より効率的かつ継続的なサプライチェーンリスク管理が可能となります。
◦ 継続的な可視化とリスク評価: AI搭載のサプライチェーンセキュリティリスク管理ツールは、通常、複数の情報源からセキュリティ情報を継続的に収集・分析し、登録組織のアタックサーフェスに対する自動スキャンを実施することで、外部からモニタリング可能なセキュリティ体制を客観的かつ継続的に可視化
◦ 自動化による効率化: AIによる自動スキャンは、委託先のセキュリティプロファイリングを効率的に行い、事実に基づいたデータを自動的に収集・事前入力するため、手動による情報収集や、委託先への度重なる確認作業を大幅に削減
◦ リスクプロファイルの補完と迅速なリスク特定: 公開されている文書に加え、過去の質問票、セキュリティポリシーなどの関連文書をAIにアップロードすることで、AIがこの情報と外部スキャン結果を統合・分析し、管理課題や潜在的なリスクを特定し、各委託先のセキュリティプロファイルを補完
◦ 委託先へのサポート: 委託先が質問票に迅速かつ正確に回答できるよう、専用のAI機能を(例:回答の補助、推奨事項の提示など)提供することで、回答プロセスの合理化・迅速化を促進し、委託先側の負担を軽減し、より質の高い情報提供を実現
AIの活用は、単に手動プロセスを置き換えるだけでなく、委託先との関係性を維持しながら、より強固で信頼性の高いサプライチェーンセキュリティ体制を構築するための強力な助けとなります。
3.評価の一貫性の欠如と手作業によるエラー
サプライチェーンセキュリティリスク管理において、評価の一貫性の欠如や、手作業によるエラーが発生しやすい状況は、リスク管理の深刻な妨げとなります。
現状
◦ 人為的なミスの発生: 手動でのデータ入力における人為的なミスの発生率は5%程度だが、たった一つの入力ミスが、サプライチェーン全体に重大なリスクをもたらす可能性があることを認識する必要あり
◦ 評価の一貫性の欠如: 標準化された基準が整備されていない手動評価では、リスク評価に一貫性を保つことや過去の評価結果の正確な更新が困難
◦ リスクの見過ごし: 不整合なデータや評価プロセスは、監視すべきリスクを実際よりも軽微に見せかけることもあり、リスクを見過ごす要因
◦ サイバー攻撃への脆弱性: 最悪の場合、一貫性のない評価と手作業によるエラーは、サイバー犯罪者が防御の弱点をつきやすくなる状況を生み出す
AIによる解決例(一貫性と正確性)
AIは反復可能で一貫性があり、エラーの少ない評価プロセスを確立し、セキュリティチームの一員として機能し、一貫性、正確性、反復可能性を提供しながら、プロセス全体を管理します。
◦ リスク識別・ロジックの活用: リスクの識別と精査のための洗練されたロジックを備えているツールでは、証拠となる文書をスキャンし、文書の種類、有効期限、参照元といった詳細情報と共に、各項目を自動でフラグ付け
◦ 検証とリスク管理の効率化: 収集した証拠に基づきセキュリティチェックを実施し、特定の対策が「十分」「不十分」、または「追加の証拠が必要か否か」を検証し、対策が「不十分」と判断された場合、自動的にリスクを査定し、深刻度に基づいたスコアリングと具体的な修正手順を提供
4.包括的な可視性の欠如
サプライチェーン全体のセキュリティリスクを効果的に管理するためには、自組織に加え、取引先や委託先が抱えるセキュリティリスクを正確に把握することが不可欠です。しかし、多くの組織がこの「包括的な可視性」の確保に苦労しているのが現状です。
現状
◦ 入手困難なサードパーティのリスク情報: 半数以上のセキュリティ担当者が、委託先や取引先から完全な情報を得ることや、彼らの「真のリスク」を正確に把握することに困難を感じており、これは、相手の対策状況の透明性の欠如や情報提供に消極的である場合に顕著
◦ 未熟な現状のテクノロジー: セキュリティ担当者の60%は、現在の技術をもってしても、サードパーティのリスクを管理する上で必要とされるレベルの可視性を「十分に得られていない」と感じており、導入しているツールが複雑で変化の激しい環境に対応できていないと判断
◦ 継続的な監視の限界: セキュリティチームの90%近くが、現在のリスク管理技術では、委託先や取引先を継続的に監視できないと回答しており、これは、単発で評価したきりで、その後の変化に対応できず、リスクの見逃しにつながる可能性を示唆
AIによる解決例(継続的な可視性と効率化)
AIを搭載したサードパーティセキュリティリスク管理ツールは、継続的な監視、リアルタイムでのアラート発信、そして迅速なレポート作成を組み合わせることで、組織が自社のサプライチェーン全体の状況を常に把握できる「完全な可視性」を提供します。
◦ 潜在的なリスクの早期発見に寄与:膨大な数の委託先と関連データをスキャンし、新たなリスクやセキュリティ上の変化が特定されるたびにリアルタイムでアラートを生成し、潜在的なリスクの早期発見が可能に
◦ 作業の自動化による効率化: 自動的にリスクを特定し、問題解決の促進、詳細な評価レポートの自動生成といった機能により、これまで担当者が手作業で行っていた多くのタスクが自動化され、セキュリティチームはリスクへの迅速な対応や、組織全体のセキュリティ強化に繋がるより戦略的な活動に時間を割くことが可能
◦ 自動集約による全体像把握の実現:個々の委託先や取引先に関連するすべての情報(リスク要因、セキュリティ状況など)を分かりやすくセキュリティプロファイルとして自動的に集約し、担当者をはじめとする関係者が全体像の迅速な把握を実現
5.コンプライアンス要件の増加
近年、組織を取り巻く規制環境はますます複雑化・高度化しており、特に多くの委託先や取引先をもつ組織にとっては、コンプライアンス対応の負担が増大しています。
現状
◦ 規制・フレームワークの多様化と厳格化: HIPAA、ISO 27001、NIST CSF、SOC 2といった業界固有の規制やフレームワーク、CCPA、GDPRなどのデータプライバシー法への自組織の対応に加え、委託先も評価対象となっている昨今、組織は自組織だけでなく、サードパーティのコンプライアンス状況の把握・管理も要求事項
◦ 監査準備の負担: 準拠を証明するためには、定期的な委託先評価や内部セキュリティ監査が不可欠であり、これらの監査には、多くのドキュメントの収集、分析、評価といった、大量のリソースが必要
◦ コンプライアンスに費やす時間: あるコンプライアンス動向レポートによれば、組織がコンプライアンスの準拠または維持のために費やす時間は年間平均4,300時間と報告されており、従業員の貴重な時間を拘束し、本来注力すべき業務遂行の妨げとなる可能性を示唆
AIによる解決例(自動化と網羅性)
サードパーティに対して求められるコンプライアンス要件をもれなく監視・検証し、適切に情報や結果を処理する一連のプロセスを自動化し、監査に向けても効率的に準備をすすめることが可能になります。
◦ 継続的監視とセキュリティ対策の検証: 委託先や取引先が実施しているセキュリティ対策の検証プロセスを自動化し、常に最新のセキュリティ状況をリアルタイムで監視することが可能
◦ 監査準備の効率化: 委託先や取引先から提出されたセキュリティ関連の証拠(証明書類、設定情報など)を自動的に収集、保存、文書化、整理し、監査に必要な情報を迅速かつ正確に準備し、監査準備にかかる時間と労力の大幅な削減を実現
ツールを選定する際は、履歴の管理が可能なツール(詳細なログを残し、保存できる機能)がお勧めです。委託先や取引先のセキュリティ履歴により、セキュリティ対策の改善状況を把握することができ、セキュリティに対する姿勢や考え方を共有するパートナーとのビジネス環境の構築が可能になります。
まとめ
現代のビジネス環境において、サプライチェーンのセキュリティリスク管理は組織の存続に直結する重要課題です。本コラムでは、その主要な5つの課題と、AIが課題解決にいかに貢献し得るかについて解説してきました。
サプライチェーン全体での可視性の欠如は、潜在的な脆弱性を見落とすリスクを招きます。委託先などでの侵害が自組織のシステムやデータへの不正アクセスなどに繋がる可能性は認識されているものの、複雑化する規制やコンプライアンス要件も相まって、管理は一層困難になっています。これは、サイバーセキュリティに携わる担当者全員にとって共通の課題です。
AIは、サプライチェーンセキュリティリスク管理に革命をもたらす可能性を秘めています。包括的な改善には、表面的な機能にとどまらない、より高度なAI駆動型ツールの導入がカギとなります。
私たち、SOMPO CYBER SECURITYでは、目的や規模、ご予算など、お客さまのニーズに合わせたサービスメニューを取り揃えています。サプライチェーンセキュリティリスク管理の効率化に着手したい方、現行の管理方法でお悩みの方、お気軽にお問い合わせください。
原文はこちら
https://www.upguard.com/resources/artificial-intelligence-and-the-future-of-tprm
参考文献
Gartner (2023). Predicts 2024: Security and Risk Management. Available at: https://www.gartner.com/en/documents/5784915.
Skypher (2025). How to answer security questionnaires. Available at: https://www.skypher.co/post/how-to-answersecurity-questionnaires.
Cyentia Institute (2024). Third-Party Risk Management with Risk Recon. Available at: https://www.cyentia.com/third-party-risk-management-in-2024/.
EY (2023). 2023 Global Third-Party Risk Management Survey. Available at: https://www.ey.com/en_gl/insights/risk/2023-ey-global-third-party-risk-management-survey.
VisoTrust (2024). State of TPRM Report. Available at: https://content.visotrust.com/hubfs/state-of-tprm-report.pdf.
Hyperproof (2023). IT Compliance Benchmarks. Available at: https://hyperproof.io/it-compliance-benchmarks/.
KPMG (2022). Third-Party Risk Management Outlook 2022. Available at: https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2022/01/third-party-risk-management-outlook-2022.pdf.
Security Magazine (2022). 13% of businesses continuously monitor third-party vendor security risks. Available at: https://www.securitymagazine.com/articles/99581-13-of-businesses-continuously-monitor-third-party-vendor-securityrisks.
SOMPO CYBER SECURITYでは、コラムやお役立ち資料、セミナー情報などを随時メールマガジンにて配信しています。ご登録がまだの方は下記のボタンより是非ご登録ください。
