従来の取引先のライフサイクル マネジメントには足りない『サプライチェーン リスク マネジメント』を実現するための要素とは?
発行日:2021年6月8日
『サプライチェーン リスク マネジメント』という言葉がメディアに多く取り上げられるようになり、ほとんどの組織で、取引先のセキュリティ リスクに適切な注意を払うようになってきています。しかし、継続的に監視する必要性を認識しながらもなかなか実行できていないのが現状です 。このような背景の元、取引先が抱えるセキュリティ リスクの効率的な管理をプロセス化する必要性が高まっています。
取引先のライフサイクル マネジメントとは?
従来、取引先のライフサイクル マネジメントには、
- 取引開始前の適格性調査
- 取引開始時の諸条件の確認
- 商品/サービスが正しく提供できるかの確認
- 財務状況の定期的な確認
- 取引終了時に行う手続きの確認
という5つのステップで構成されていました。しかし、データ侵害リスクが増大している昨今では、
・ セキュリティ態勢の確認
も併せて考える必要があります。
もちろん、既に、「1. 取引開始前の適格性調査」において、取引先のセキュリティ態勢の確認をしている組織は多くあります。しかし、サイバー攻撃の手法は日々進化しているため、取引開始時だけではなく、取引終了までのライフサイクル全体にわたってそのセキュリティ態勢やリスクを継続的にマネジメントすることが急務です。
この運用プロセスを確立するためには、多くの種類の文書が必要とされ、取引先が主要であればあるほど、効率的なマネジメントを可能にする文書化プロセスの構築が必要とされます。
取引先が主要か否かについての明確な基準を設けていない場合、以下の指標が参考になるかもしれません。この指標は、新規取引先、既存取引先の双方に適用することが可能です。
【定性的指標】
- 組織が利用している取引先のサービスの重要性
- 取引先企業からの組織内データへのアクセスの有無
- 取引先に預けているデータの種別
- 取引先の財務健全性の定量的評価
- 取引先との契約の規模
- 取引先の情報セキュリティの定量的評価
【定量的指標】
では、「セキュリティ態勢の確認」を継続的に行う運用プロセスを確立するためにはどのようなアプローチがあるのでしょうか。
ここでは、セキュリティ リスク レイティングというソリューションがどのようにその運用プロセス確立に寄与できるかを、SecurityScorecardを例に、説明します。
SecurityScorecard を活用した取引先のセキュリティ態勢の確認方法
「定量的なベンチマークの策定」
SecurityScorecard を利用することで、組織は取引先を審査するために定量的なベンチマークを策定することができます。組織は、取引先のセキュリティ評価を文書化し、それを自社のリスク許容度に関連付け、財務の情報セキュリティの双方の安定性に関連する測定基準として使用することができます。さらに、A~D/Fの5段階でセキュリティ態勢のグレードが示されるので、取引先のセキュリティ リスクを組織の上層部に簡単に理解してもらえ、共通認識を持つことを促します 。
「情報共有プラットフォームとしての利用」
SecurityScorecardが提供するSaaSプラットフォームに、複数の利害関係者がアクセスできるために、お互いに共通認識を持った状態で文書の策定が行うことができます。また、組織全体で共通した用語を用いることができ、組織全体で有する文書として活用する際の運用負荷が軽減されます。
「優先度による取引先のグルーピング」
SecurityScorecardを使用すると、取引先を優先度毎にグルーピングし、その単位で管理することができます。主要な取引先をまとめたグループは月次でそのセキュリティ態勢を確認。その次に主要と位置付けるグループは四半期に一度確認を行う、といった運用が実現できます。
「セキュリティ態勢の履歴の確認」
SecurityScorecardを使用すると、取引先のセキュリティ態勢が直近1年、6か月といった時間軸でどのように変化しているのかの履歴を確認することが可能です。この情報を元に、取引先企業のセキュリティに対する意識を確認し、場合によっては、セキュリティ態勢を改善するための取引先とのコミュニケーションに活用することができます。
「客観的な事実に基づいた取引先のセキュリティ態勢の把握」
SecurityScorecardは、独自の情報収集技術を利用し、取引先企業のセキュリティ態勢を外部から把握し、確認されるセキュリティーイシューに基づいて、点数化を行います。確認できるセキュリティーイシューは、10個のカテゴリ(「ネットワークセキュリティ」、「DNS の健全性」、「パッチ適用の状況」、「エンドポイントセキュリティ」、「IP レピュテーション」、「Web アプリケーションセキュリティ」など)、100以上の項目に及びます。これらはすべて外部から見ることができる情報、つまり、客観的な事実に基づいているため、主観的な要素を極力排除して、取引先のセキュリティ態勢を的確に判断することができます。
このように、これまで困難とされていた「セキュリティ態勢の確認」に関して、SecurityScorecard を使用すると、取引開始時だけではなく、取引終了までのライフサイクル全体にわたってそのセキュリティ態勢やリスクを継続的にマネジメントすることが可能になります。