取引先企業のリスク管理における3つの課題およびその解決方法
発行日:2021年3月12日
2013 年12 月にアメリカ小売業大手のTarget社において、大規模なセキュリティインシデントが発生し、以降、取引先企業のサイバーセキュリティ対策の重要性が見直され、CISO 、セキュリティ部門、リスク管理部門の最優先事項の1つになりました。
年々、組織や企業が直接的あるいは間接的に取引を行う関連企業が増えています。それと並行して、攻撃者がより大規模な組織に侵入する足掛かりとして、まずは、その取引先企業に侵入するという手法が増加し、企業のサプライチェーンにこれまでにないほどの影響を与えるようになりました。
このような状況においては、企業は『TPRM(Third Party Risk Management)』(取引先企業のリスク管理)の理解、実装/実践なくしては、セキュリティリスクを排除し、脆弱な状態から抜け出せません。
一方で、現在企業で実装されているTPRMプログラムは、取引先企業が抱えるセキュリティリスクの観点で語らずに、自社のコンプライアンスのみに焦点が当たっていることが散見されます。この観点もとても重要ですが、取引先企業がもたらすリスクを管理するという観点では不十分です。本当のリスクを測定するため、また、TPRMプログラムの観点を変えるためには、取引先企業の管理方法を見直す必要があります。
TPRM プログラムを強化するために必要な、TPRMの3つの課題と、ユーザーと組織が実行できるアクションを次に示します。
1. TPRM プロセスを自動化し、管理できない取引先企業のリスクを減らす
SaaSの普及に伴い、企業はクラウドベースのサービスを今まで以上に利用し、これからもその利用は加速すると想定されます。企業がITとインフラのデジタルトランスフォーメーションを推進するに伴い、取引先企業のセキュリティを管理する必要性が強くなります。
しかし、取引先企業の数が増えるにつれて、その取引先企業が持つセキュリティリスクを自社が求めるレベルで管理されていないことが確認されるのも事実です。最悪の場合は、まったく管理されていない企業すら存在します。つまり、自社からすると、管理することができないセキュリティリスクが発生するという事態になります。これらの取引先企業が自社のネットワーク、従業員の個人情報、顧客の機密データにアクセスできている場合、それらの取引先企業もリスク管理評価の対象にするべきではないでしょうか?
ただ、残念ながら、現実問題として、取引先企業の数は企業によっては数百を超えるため、すべての取引先企業を自社と同じレベルでリスク評価することは現実的ではありません。その場合、取引先企業を評価するための自動化されたリスク評価ツールを使用することで、新規取引先企業であっても、既存取引先企業であってもそのセキュリティリスクを最小限に抑えることができます。
TPRM プロセスを自動化することは、完全なリスク管理を確立するための大切なステップの1 つです。プロセス自動化には、次のような利点があります。
- 取引先企業の管理の柔軟性の向上
- 取引先企業の管理とそのプロセスの標準化
- セキュリティに対する評価軸とレポートの一貫性
- 客観的なデータを基にした意思決定
- 自社組織の全体的なリスクの評価とリスクの軽減
TPRMプロセスを自動化することで、新規、または、既存にかかわらず、すべての取引先企業へのプロセスを標準化することができます。また、これまでリスク評価に掛けてきたコスト/リソースを削減することができます。
2.アンケート形式のリスク評価を客観的なデータで補強し、取引先企業を評価する
これまで、取引先企業に対するリスク評価は、アンケート/実地調査/ペネトレーションテストといった手法によって行われていました。これらの方法には、それぞれ長所と短所があります。実地調査によるリスク評価とペネトレーションテストは、多大な時間とお金を要します。そのため、すべての取引先企業に使用することはできず、セキュリティインシデントが発生した際に自社に最も影響がある取引先企業に絞って適用されることが主です。
そして、その他の大半の取引先企業に対しては、アンケートによるセキュリティ態勢の評価が行われています。しかしながら、アンケートは取引先企業の主観的な報告であり、取引先企業との信頼関係の上に成り立った手法ではありますが、客観的な視点を欠く評価方法です。
従って、アンケートで取引先企業が回答した内容がその企業のセキュリティ状態を現実的に描写したものであることを客観的なデータを基に検証できるソリューションが必要です。
セキュリティソリューションの中には、取引先企業による評価を提供するものが多数あります。最適なソリューションを見つけるには、以下の観点を備えているかを精査する必要があります。
- 客観的なデータを基に取引先企業を正確に評価している
- 取引先企業とのコミュニケーションを容易にする
- 潜在的な侵害を定量的に示唆している
3. 特定の一時点での状況ではなく、継続的なモニタリングを利用して、取引先企業を評価する
前節で述べた評価手法の多くはある共通の欠点を持っています。それは、「取引先企業の特定の一時点のセキュリティ態勢しかリスク評価することができない」ということです。多くの場合、リスク評価によって収集された情報は、時間の経過とともに劣化していきます。攻撃者が新しい攻撃を開発するスピードや脆弱性を悪用するスピードは速く、企業の一時点の評価や1年に1回ののレビューでは、実際のセキュリティ態勢を正確に知ることができません。
取引先企業のリスク評価に継続的なモニタリングプロセスを実装することは、対応時間を短縮し、そのセキュリティ態勢の可視性を向上させるために非常に効果的な方法です。
継続的な監視を通じて、取引先企業のセキュリティを強化し、一貫した説明責任を全うできます。これにより、潜在的なセキュリティインシデントに対する全体的なリスクを最小限に抑えることができます。
TPRMの実装方法
TPRM プログラムの継続的なモニタリングの実装方法については、「How to Revamp Your VRM Program」の記事シリーズのパート2 (英文)で説明しています。セキュリティインシデントが発生した際に自社に最も影響がある取引先企業を優先順位付けし、次に、継続的に監視する運用プロセスを定義します。そして、取引先企業に継続的な監視を提供する自動化されたリスク評価ツールとソリューションを探し、セキュリティ運用として実装します。
結論
最適なTPRM プログラムを実践するために、これまでのセキュリティ運用を全面的に見直しをする必要はありません。代わりに、リスク評価を実践する上で、何が重要かを定義する必要があります。この記事で強調した3つの観点は、TPRMを実装/実践する際に、大きな変化をもたらし、これまで管理できていなかったリスクを低減し、万が一、セキュリティインシデントが発生した場合において、その対応時間を短縮することが可能です。
TPRMを自動化し、客観的な取引先企業のリスク評価を利用し、継続的な監視を行うことで、成熟したTPRM プログラムが完成し、新規取引先企業とビジネスを開始した際も、比較的簡単にそのセキュリティ態勢を評価できるようになり、自社組織を安全に保つことが可能になります。