サードパーティーリスクに対処してビジネスレジリエンスを確保するには：Gartner Insights Pickup（352）

今日の企業は、サイバーセキュリティだけでなく、特に地政学や金融などのさまざまなリスクがある不確実な世界で事業を展開している。だが、セキュリティとリスクマネジメントのリーダーは、ミッションクリティカルな業務の完全性を、常に例外なく確保することを求められている。

[Luke Ellery, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　企業にとって、取引のあるサードパーティーの一部が何らかのリスクやインシデントに見舞われることは避けられない。どんな人にとっても「死と税金」が不可避であるのと同様だ。新たなサードパーティーリスクに対処し、効果的な管理体制を確立する必要がある。レジリエントな（回復力の高い）サードパーティーエコシステムを構築し、ビジネスの混乱を回避することが、セキュリティとリスクマネジメントのリーダーにとってかつてないほど重要になっている。

　問題は、外部から見ただけでは、サードパーティーのリスクを特定するのが非常に難しいことだ。他の組織の内部で何が起こっているのかは不明だ。独立評価が役立つが、企業が考慮すべきサードパーティーリスクは、サードパーティーへの依存度と、自社のリスク選好度によって決まる。リスク選好度は、事業を展開する国、順守すべき法律、規制、業界基準に大きく左右される。

　Gartnerは、2025年までに60％の企業が、サードパーティーと取引やビジネス契約をする上での重要な決定要素として、サイバーセキュリティリスクを重視するようになると予測している。だが、多くのサイバーセキュリティプログラムは、サードパーティーリスクの評価に画一的なアプローチを適用している。そのために評価が非効率でうまくいかなくなり、一般的に、リスクを軽減する代わりに受け入れる羽目になってしまう。

　これではすぐにフラストレーションがたまってしまう。こうした一般的な評価プロセスに欠陥があり、詳細な評価によってサードパーティーのサイバーセキュリティ侵害リスクから自社を守れる保証がないからだ。