今日の企業は、サイバーセキュリティだけでなく、特に地政学や金融などのさまざまなリスクがある不確実な世界で事業を展開している。だが、セキュリティとリスクマネジメントのリーダーは、ミッションクリティカルな業務の完全性を、常に例外なく確保することを求められている。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
企業にとって、取引のあるサードパーティーの一部が何らかのリスクやインシデントに見舞われることは避けられない。どんな人にとっても「死と税金」が不可避であるのと同様だ。新たなサードパーティーリスクに対処し、効果的な管理体制を確立する必要がある。レジリエントな(回復力の高い)サードパーティーエコシステムを構築し、ビジネスの混乱を回避することが、セキュリティとリスクマネジメントのリーダーにとってかつてないほど重要になっている。
問題は、外部から見ただけでは、サードパーティーのリスクを特定するのが非常に難しいことだ。他の組織の内部で何が起こっているのかは不明だ。独立評価が役立つが、企業が考慮すべきサードパーティーリスクは、サードパーティーへの依存度と、自社のリスク選好度によって決まる。リスク選好度は、事業を展開する国、順守すべき法律、規制、業界基準に大きく左右される。
Gartnerは、2025年までに60%の企業が、サードパーティーと取引やビジネス契約をする上での重要な決定要素として、サイバーセキュリティリスクを重視するようになると予測している。だが、多くのサイバーセキュリティプログラムは、サードパーティーリスクの評価に画一的なアプローチを適用している。そのために評価が非効率でうまくいかなくなり、一般的に、リスクを軽減する代わりに受け入れる羽目になってしまう。
これではすぐにフラストレーションがたまってしまう。こうした一般的な評価プロセスに欠陥があり、詳細な評価によってサードパーティーのサイバーセキュリティ侵害リスクから自社を守れる保証がないからだ。
オーストラリアの企業などに対する規制当局であるオーストラリア証券投資委員会(ASIC)は、サイバー脅威に対抗するために警戒を強化するよう企業に求めており、企業のサプライチェーン全体にわたってサイバーセキュリティリスク管理に「憂慮すべき」不備があると強調している。ASICが2023年に実施した調査で、回答企業の44%がサードパーティーリスクやサプライチェーンリスクを管理していないことが明らかになったことがその背景にある。
こうした不備の解消に向けて、各国政府が企業に対する法的な義務や規制上の義務を強化する動きが出ている。
日本の同僚によると例えば日本では、経済産業省と独立行政法人情報処理推進機構(IPA)が発行している「サイバーセキュリティ経営ガイドライン」が2023年に6年ぶりに改訂され、「サイバーセキュリティ経営ガイドラインVer.3.0」として公開された。近年のサイバー攻撃の巧妙化やサプライチェーンを介したサイバー攻撃による被害拡大に対応するためだ。
また、「内部統制報告制度」(J-SOX法)も制度導入以来15年ぶりに改訂され、2024年4月から適用されている。クラウドサービス事業者を含む外部委託先へのセキュリティ管理強化が狙いだ。これに伴い、内部統制のガイドラインとして経済産業省が公表している「システム管理基準」と「システム監査基準」も改訂された(ガートナージャパンのシニアディレクターアナリストの土屋隆一氏より)。
これらの規制は、企業がビジネスの混乱の許容範囲を時間やデータ損失、最低サービスレベルといった観点から決定するのに役立つ。企業にとって、「どのような統制が必要か」「契約に何を盛り込むべきか」「事業継続計画に何が必要か」を理解するための指針となる。
現在、IT部門に影響を与えるサードパーティーリスクは数多くある。例えば、汚職やデータプライバシー、持続可能性、財務、地理、運用/継続性、パフォーマンス、規制順守、サイバーおよびベンダー戦略などに関わるリスクがある。
このところ最も話題を呼んでいる3つのリスクが、サイバーセキュリティとデータプライバシー(侵害が発生した場合の結果と責任が重大)、そして業務継続(ランサムウェア攻撃によって脅かされる頻度が増している)のリスクだ。
ここでの重要な課題は、セキュリティリーダーがこれら全てのリスク領域に責任を持つことはほとんどないため、ビジネスなどの関連するステークホルダーを巻き込む必要があるということだ。リスク領域ごとにビジネスリスクオーナーを明確にし、セキュリティチームだけが責任を負うことがないようにする必要がある。
Gartnerの2023年の調査によると、セキュリティチームがサードパーティーリスクを抱える他部門と密接に連携し、サイバーセキュリティ以外のサードパーティーに関する検討事項の責任を移管することで、企業はリスク管理の効果を18%向上させられる。
効果的にリスク管理をするには、サプライチェーンエコシステムにおけるリスクを軽減する対策に注力する必要がある。サードパーティーのさまざまなタイプに応じて異なる対策が必要になる。例えば、企業データにアクセスできるSaaSベンダーに必要な対策は、オンサイトのサービスプロバイダーやハードウェアベンダーとは異なるものになる。
こうした対策には、企業が自ら行う必要があるものと、サードパーティーの責任で行われるものがある。一部の対策は、相互に協力して行われるかもしれない。サードパーティーとのコンティンジェンシープラン(緊急時対応計画)がその一つだ。Gartnerの調査によると、これによってサードパーティーリスク管理の効果が43%向上する。
相互コンティンジェンシープランを導入したら、最も高いサイバーセキュリティリスクをもたらすサードパーティーとの契約について、このプランを強化することに力を入れる。さらに、サードパーティー固有のインシデント対応プレイブックを作成し、机上演習を実施し、明確なオフボーディング戦略(適時のアクセス権取り消しやデータ消去などを含む)を定義するとよい。
重要なサードパーティーについては仲間と考え、エンゲージメント戦略のスタンスを監視からパートナーシップに転換する必要がある。これにより、サードパーティーがアクセスする企業の最も貴重な資産(重要なデータ、ネットワーク、ビジネスプロセス)が継続的に保護されるようになる。
共存共栄の関係を構築することで透明性が向上し、サードパーティーにおけるリスク軽減策の実施が促進され、サイバーセキュリティインシデント発生時の連携が改善される。
ハイパーコネクテッド環境では、サードパーティーサプライヤーのリスクは自社のリスクでもある。サードパーティーがセキュリティ保護を強化できるように、サードパーティーにおけるリスク管理の成熟化を支援することが重要だ。
また、内部情報をモニタリングし、必要があれば、観測結果に応じて自社環境を保護するために追加的な対策を講じることも重要だ。
出典:How to address third-party risk to ensure business resiliency(Gartner)
※この記事は、2024年3月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.