サードパーティーリスクに対処してビジネスレジリエンスを確保するにはGartner Insights Pickup(352)

今日の企業は、サイバーセキュリティだけでなく、特に地政学や金融などのさまざまなリスクがある不確実な世界で事業を展開している。だが、セキュリティとリスクマネジメントのリーダーは、ミッションクリティカルな業務の完全性を、常に例外なく確保することを求められている。

» 2024年05月24日 05時00分 公開
[Luke Ellery, Gartner]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 企業にとって、取引のあるサードパーティーの一部が何らかのリスクやインシデントに見舞われることは避けられない。どんな人にとっても「死と税金」が不可避であるのと同様だ。新たなサードパーティーリスクに対処し、効果的な管理体制を確立する必要がある。レジリエントな(回復力の高い)サードパーティーエコシステムを構築し、ビジネスの混乱を回避することが、セキュリティとリスクマネジメントのリーダーにとってかつてないほど重要になっている。

 問題は、外部から見ただけでは、サードパーティーのリスクを特定するのが非常に難しいことだ。他の組織の内部で何が起こっているのかは不明だ。独立評価が役立つが、企業が考慮すべきサードパーティーリスクは、サードパーティーへの依存度と、自社のリスク選好度によって決まる。リスク選好度は、事業を展開する国、順守すべき法律、規制、業界基準に大きく左右される。

 Gartnerは、2025年までに60%の企業が、サードパーティーと取引やビジネス契約をする上での重要な決定要素として、サイバーセキュリティリスクを重視するようになると予測している。だが、多くのサイバーセキュリティプログラムは、サードパーティーリスクの評価に画一的なアプローチを適用している。そのために評価が非効率でうまくいかなくなり、一般的に、リスクを軽減する代わりに受け入れる羽目になってしまう。

 これではすぐにフラストレーションがたまってしまう。こうした一般的な評価プロセスに欠陥があり、詳細な評価によってサードパーティーのサイバーセキュリティ侵害リスクから自社を守れる保証がないからだ。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。