どのように取引先/関連組織のセキュリティ リスクを把握するべきか
発行日:2021年7月14日
弊社のブログでも、過去に、『サプライチェーン リスク マネジメント』というキーワードを出したことがあります。最近では、経済産業省(※1)(※2)やIPA(独立行政法人 情報処理推進機構)(※3)(※4)の発表資料で使われることが多くなってきました。
この『サプライチェーン リスク マネジメント』ですが、これから導入しようとしている組織、既に導入が進んでいる組織も多くあると耳にします。
一方で、なかなか導入が進まない企業も多くあると伺います。導入が進まない理由の1つとして挙げられるのは、「取引先/関連組織のセキュリティ態勢を把握する方法が分からない。」ということです。
確かに、自組織のセキュリティ態勢であれば、内情も把握できているし、セキュリティ態勢を診断するツールを実行するにしても、組織内の許可を得ることができれば、比較的手に入りやすい情報です。ただ、これが、自社以外の組織となると、とたんにハードルが高くなります。
では、「取引先/関連組織のセキュリティ態勢を確認する方法」として、どのような方法があるのでしょうか。現状、考えられるのは、以下の2つの方法です。
- 取引先/関連企業自身から報告してもらう方法
- 外部から診断ツールで判定する方法
これらの2つですが、もちろん、それぞれに特長が存在します。
それぞれの方法の、一番の特長は、
- 取引先/関連企業自身から報告してもらう方法 → 主観的な意見を聞くことができる
- 外部から診断ツールで判定する方法 → 客観的な事実を得ることができる
という点です。
取引先/関連企業自身に質問表に答えてもらえば、その企業自身が自社のセキュリティ態勢をどのように判断しているのか、主観的な意見を把握することが可能です。一方で、外部の診断ツールを利用すれば、ツールがシステム的に判断した事実を得ることができます。ここには、企業自身の主観的な意見は入らないため、あくまでも客観的な事実のみがわかります。
これらの特長を活かすと、具体的には、知りたい内容により、それぞれ利用方法が考えられます。
つまり、把握したい情報により、最適なツールが変わってきます。そのため、まず、取引先/関係組織に対して、どのような情報を得るべきなのか、得たいのかを見極めることが重要です。
SecurityScorecardは、以下の2つのソリューションで、取引先/関係組織のセキュリティ態勢の把握を実現します。
- 取引先/関連企業自身から報告してもらう方法:セキュリティ リスク レイティング プラットフォーム
- 外部から診断ツールで判定する方法:質問票管理プラットフォーム
もし、「どのように取引先/関連組織のセキュリティリスクを把握するべきか」という観点で悩まれている方がいらっしゃりましたら、SecurityScorecardのソリューションを試してみてください。