高まるサードパーティーITリスク 担当者はどう対処できるのか:Gartner Insights Pickup(421)
DXの加速に伴い、自動化やクラウド、AIなどの活用が進む一方、企業のITベンダー依存度は高まり、サードパーティーにおけるサイバー攻撃や障害が、自社の事業中断や損失に直結するリスクが増大している。責任者は、リスクの特定と管理を従来の枠を超えて強化し、強靭(きょうじん)なベンダー関係を構築する必要がある。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
組織がデジタルトランスフォーメーション(DX)を加速し、自動化やクラウド、AI技術の導入が進むとともに、ビジネスクリティカルなプロセスやサービスでITベンダーへの依存がますます高まっている。
この傾向は新たな課題をもたらす。サードパーティーのサイバーセキュリティインシデントやその他の混乱が、重大な事業中断や損失につながることがあるからだ。
こうしたリスクの管理は、ITリーダーとビジネスリーダーの最優先事項の一つとなっている。このことは、組織の資産を保護し、事業の継続を確保するための強固な対策の必要性を浮き彫りにしている。
サイバーセキュリティは、ITベンダーに影響を及ぼし、サービスを混乱させる可能性のあるさまざまなリスクの一つにすぎない。地政学的な出来事、環境災害、技術的障害、人的ミスも重大な脅威となる。
規制要件が進化し取締役会からの期待が高まる中、ITソーシング/調達/ベンダー管理(SPVM)のリーダーは、ビジネス部門のステークホルダーと緊密に協力し、主要なリスク領域を特定し、ベンダー契約の不備を見直し、インシデント対応の準備を整える必要がある。
従来のリスク管理手法を超えて、レジリエンス(回復力)を組み込んでベンダーとの関係を構築することで、SPVMリーダーは、自組織が混乱を回避し、インシデントに効果的に対応し、進化するビジネスおよび規制環境の中で成功を収められるよう支援できる。
重要なベンダーと最低限のサービス要件の特定
多くの組織は今、以前から取引しているITベンダーとの間で、現在のリスクや規制要件を反映していない契約を結んでいる。この問題に対処する第一歩は、運用要件を特定し、ベンダーとの関係を現在のビジネスニーズに整合させることだ。
IT部門のサードパーティーリスク管理チームの関与を得るか、あるいはビジネス部門のステークホルダーと協力することが、ベンダーとの関係の現状を検証し、業務に最も重要なベンダーを特定するために不可欠だ。
重要なベンダーが特定されたら、リスク管理、コンプライアンス、セキュリティ、ビジネス、法務の各チームと協力し、これらのベンダーが満たすべき最低要件を決定することが重要だ。全ての義務が履行されるように、このプロセスでは、関連する法律や規制を再チェックする必要がある。
事業継続の観点から考慮すべき主要領域には、自動化の停止対策、期待されるシステムの可用性、事業継続計画およびテスト、サイバーセキュリティコントロール、データマッピング、インシデント対応手順、冗長化対策、移行または出口戦略が含まれる。
例えば、自動化対策では、自動化されたビジネス機能がビジネス、法律、規制の要件を満たし続けるようにしなければならない。期待される可用性については、アップタイムとサービスレベルの観点から明確な定義が必要だ。
これらの要件を定義したら、徹底した文書化が欠かせない。その際は、関連するリスクと各要件の根拠(ビジネス上の期待への対応、あるいは法律や規制上の義務の順守)を説明する必要がある。法務チームは、契約において各要件が適切な文言で盛り込まれていることを確認しなければならない。
可能な限り、要件はサービスレベルとして明文化し、計測方法と不履行に対する補償を明記する必要がある。適切に文書化されたサービスレベルは、ベンダーがパフォーマンス基準を満たす動機になる。ただし、サービスレベルを細かく設定しすぎたり、不適切な記述は避けることが重要だ。意図しない結果を招く場合があるからだ。
これらのステップを踏むことで、リーダーは、ベンダーとの契約が堅固で現在のニーズに合致し、変化するリスク環境の中で事業継続を支えることができる。
ベンダーへの運用要件の提示
新規契約に不適切な条項が含まれないようにすることは、運用リスク管理の重要な第一歩だ。これには、確立されたリスク閾(しきい)値を満たすベンダーの調達プロセスに、運用リスク要件を加味することが含まれる。
これらの要件を策定し、合意するには、関連するリスク管理チーム(セキュリティやビジネス、運用、エンタープライズリスクなどを担当)と協力する必要がある。要件が定義されたら、調達チームはその基準を自らのプロセスに取り入れ、外部向けの調達サイトに組み込む必要がある。
ベンダーは、契約上の新たな義務に抵抗するかもしれない。「類似の義務が自社の契約文書で既に規定されている」と考える場合は特にだ。進化する法律や規制の文脈でこれらの変更を提示すれば、それらが一組織に固有の要件ではなく、業界全体の要件となっていることを示せる。
IT契約にリスク是正プログラムが含まれる場合、主要な日付とマイルストーンを追跡し、問題を早期にエスカレーションすることが不可欠だ。このアプローチにより、経営幹部との連携が可能になる。経営幹部は、必要に応じてベンダーへのエスカレーションを支援したり、規制当局と相談したりすることができる。
どのベンダーも運用リスク要件を満たせない場合は、ビジネス部門や関連するステークホルダーと協力し、代わりの解決策を見いだすことが重要だ。その中には、社内プロセスの開発、インソーシング、別のITベンダーを通じた追加のコントロールの実装が含まれる可能性がある。
サードパーティーITリスクの監視と重大事象への対応
継続的な監視は、効果的なベンダーパフォーマンス管理に欠かせない。重要なITベンダーについては定期的にガバナンス会議を開催し、契約上の義務やサービスレベル、バックグラウンドチェック、セキュリティやその他のコントロールについてチェックする必要がある。
これらの会議は、ギャップを特定し、是正措置を策定し、ベンダーによる組織の要件の継続的な順守を確保する機会になる。サービスクレジットや違反時の解約権、その他の是正措置などのメカニズムを活用することで、コンプライアンスの動機付けを強化し、義務の履行を促進できる。
ベンダーが対応を怠る場合や期待に応えない場合は、社内で、あるいは外部コンサルタントの協力を得て、ベンダーによる義務の履行を監査する必要が生じることがある。タイムリーな是正措置を講じることで、責任の所在を明確にし、潜在的な混乱から組織を保護できる。
ただし、ガバナンスプロセスだけでは不十分だ。重大な事象は発生する可能性があり、実際に発生する。そのため、組織とベンダーの双方で、対応するためのリソースを明確に特定しておくことが極めて重要だ。これにより、危機が発生しても、適切な担当者と連絡が取れ、明確な手順に従って対応できる。
堅牢(けんろう)な監視と積極的な危機管理計画を組み合わせることで、組織は、サードパーティーITリスクに対するレジリエンスを強化し、進化するリスク環境の中で事業継続性を維持できる。
出典:Building Third-Party IT Risk Resilience(Gartner)
※この記事は、2025年8月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。