• サポート
  • ログイン
  • お問い合わせ
  • ブログ
  • Japanese
  • English
  • French
  • サポート
  • ログイン
  • お問い合わせ
  • ブログ
SecurityScorecard SecurityScorecard
  • 製品とサービス
    製品
    • Security Ratings (セキュリティレイティング)
      10 種類のリスクファクターにおけるセキュリティの強みを特定します。
    • Security Data (セキュリティデータ)
      実践的で、データに基づいた知見を入手できます。
    • Security Assessments (セキュリティアセスメント)
      セキュリティアンケートの交換を自動化できます。
    • Automatic Vendor Detection (自動ベンダー検出)
      NEW
      サードパーティベンダーおよびフォースパーティベンダーを発見します。
    • Cyber Risk Quantification (サイバーリスク定量化)
      サイバーリスクを金額に換算する
    • Reporting Center (レポーティングセンター)
      サイバーリスクレポーティングを簡素化できます。
    • SecurityScorecard Marketplace
      事前に構築された統合機能を見つけて導入できます。
    サービス
    • Active Security Services
      セキュリティコントロールのテストを行います。
    • Cyber Risk Intelligence
      提携して有意義な脅威インテリジェンスを手に入れましょう。
    • デジタルフォレンジック
      あらゆる脅威に対応する準備ができます。
    • サードパーティリスクマネジメント
      ベンダーエコシステム全体のリスクを低減できます。
    今すぐ購入
    • 無料アカウントを試してみる
      情報に基づく意思決定を自信を持って行えます。
    • エンタープライズ版デモを依頼する
      企業向けプランの機能の導入事例をご覧いただけます。
    icon__SSClogoMark icon__SSClogoMark

    SecurityScorecardでリスクを把握し、低減できます。

    無料アカウントに登録する
  • ソリューション
    ユースケース別
    • コンプライアンス
    • サイバー保険
    • デジタルフォレンジック
    • デューデリジェンス
    • 企業サイバーリスク
     
    • 経営陣向けレポート
    • インシデント対応
    • 各種規制への対応
    • サードパーティリスク
    業種別
    • エンタープライズ又は一般企業
      英語サイトへ
    • 金融サービス
      英語サイトへ<
      企業向けプランの機能の導入事例をご覧いただけます。
    • 政府機関
      英語サイトへ<
    • 保険
      英語サイトへ<
     
    • 小売り業及び消費者向けサービス
    • テクノロジー

    企業のリスク計算をサポート

    無料アカウントに登録する
  • 顧客
    導入顧客
    • 顧客概要
      英語サイトへ
      あらゆる業種、規模の企業から信頼されています。
    • 導入済みのお客様からの評価
      英語サイトへ
      お客様の声をお聞きください。
    成功とサポート
    • カスタマーサクセス
      英語サイトへ
      受賞歴のあるカスタマーサービスを受けられます。
    • サポート
      英語サイトへ
      ご不明な点は専門家に相談できます。
    コミュニティ
    • SecurityScorecard Connect
      Engage in fun, educational, and rewarding activities.
    • ログイン
      お客様専用のセキュリティレイティングプラットフォームへログイン
    icon__SSClogoMark icon__SSClogoMark
    SecurityScorecardでリスクを把握し、低減できます。
    無料アカウントに登録する
  • パートナー

    パートナープログラムの概要

    サイバーセキュリティレイティングのグローバルリーダー、SecurityScorecardと提携し、ソリューションを拡張し、実現する価値を高め、新しいビジネスを獲得しましょう。

    詳細情
    • パートナーを探す
      英語サイトへ
      業界最先端のパートナーネットワークにアクセスできます。
    • テクノロジーアライアンス
      英語サイトへ
      リーディングプロバイダーの革新的なソリューションにアクセスできます。
    • SCORE ポータルログイン
      英語サイトへ
      SCORE パートナープログラムを使用して事業を拡大できます。
    • SecurityScorecard マーケットプレイス
      SecurityScorecard エクスペリエンスを拡張する信頼できるソリューションを探せます。
  • リソース
    リソース
    • リソースセンター
      サイバーセキュリティに関する電子書籍、データシート、ウェビナーなどをご覧いただけます。
    • SecurityScorecard ブログ
      セキュリティ リスク レイティングに関する様々なブログを掲載しています。
    • リサーチおよびインサイトセンター
      新規
      最新の業界トレンドおよびセクター開発に関する調査にアクセスできます。
    • SecurityScorecard アカデミー
      新規
      認定コースを修了し、業界で注目されているバッジを獲得しましょう。
    ツールおよびドキュメント
    • 無料のセキュリティレイティング
      英語サイトへ
      カスタマイズされたセキュリティスコアで無料のレイティングレポートを取得できます。
    • 製品リリースノート
      最新のリリースノートについては、サポートポータルにアクセスしてください。
    • 無料アカウントに登録する
      今すぐサイバーセキュリティ体制のモニタリングを開始しましょう。
    信頼は、透明性から始まります。私たちのレイティングを駆動するデータをのぞいてみませんか。
    詳細情報
  • 企業情報
    • 会社概要
      SecurityScorecard は、セキュリティレイティングでグローバルリーダーとして評価されています。
    • 経営陣
      英語サイトへ
      世界のセキュリティ環境の安全性を高めているチームをご紹介します。
    • プレス
      英語サイトへ
      最新のプレスリリースや報道をご覧いただけます。
    • イベント
      英語サイトへ
      開催予定の業界イベントにご参加ください。
    • 採用情報
      今すぐ応募する
      SecurityScorecard チームに参加しませんか?
    • お問い合わせ
      ご質問、ご不明な点、お気づきの点がございましたら、ご連絡ください。
    • 信頼性ポータル
      私たちのテクノロジーを推進するデータの内側をのぞいてみませんか。
    • ヘルプセンター
      英語サイトへ
      ご不明な点やお困りのことがありましたら、お気軽にご相談ください。
お問い合わせ

取引先企業のリスク管理における3つの課題およびその解決方法

発行日:2021年3月12日

2013 年12 月にアメリカ小売業大手のTarget社において、大規模なセキュリティインシデントが発生し、以降、取引先企業のサイバーセキュリティ対策の重要性が見直され、CISO 、セキュリティ部門、リスク管理部門の最優先事項の1つになりました。

年々、組織や企業が直接的あるいは間接的に取引を行う関連企業が増えています。それと並行して、攻撃者がより大規模な組織に侵入する足掛かりとして、まずは、その取引先企業に侵入するという手法が増加し、企業のサプライチェーンにこれまでにないほどの影響を与えるようになりました。

このような状況においては、企業は『TPRM(Third Party Risk Management)』(取引先企業のリスク管理)の理解、実装/実践なくしては、セキュリティリスクを排除し、脆弱な状態から抜け出せません。

一方で、現在企業で実装されているTPRMプログラムは、取引先企業が抱えるセキュリティリスクの観点で語らずに、自社のコンプライアンスのみに焦点が当たっていることが散見されます。この観点もとても重要ですが、取引先企業がもたらすリスクを管理するという観点では不十分です。本当のリスクを測定するため、また、TPRMプログラムの観点を変えるためには、取引先企業の管理方法を見直す必要があります。

TPRM プログラムを強化するために必要な、TPRMの3つの課題と、ユーザーと組織が実行できるアクションを次に示します。

1. TPRM プロセスを自動化し、管理できない取引先企業のリスクを減らす

SaaSの普及に伴い、企業はクラウドベースのサービスを今まで以上に利用し、これからもその利用は加速すると想定されます。企業がITとインフラのデジタルトランスフォーメーションを推進するに伴い、取引先企業のセキュリティを管理する必要性が強くなります。

しかし、取引先企業の数が増えるにつれて、その取引先企業が持つセキュリティリスクを自社が求めるレベルで管理されていないことが確認されるのも事実です。最悪の場合は、まったく管理されていない企業すら存在します。つまり、自社からすると、管理することができないセキュリティリスクが発生するという事態になります。これらの取引先企業が自社のネットワーク、従業員の個人情報、顧客の機密データにアクセスできている場合、それらの取引先企業もリスク管理評価の対象にするべきではないでしょうか?

ただ、残念ながら、現実問題として、取引先企業の数は企業によっては数百を超えるため、すべての取引先企業を自社と同じレベルでリスク評価することは現実的ではありません。その場合、取引先企業を評価するための自動化されたリスク評価ツールを使用することで、新規取引先企業であっても、既存取引先企業であってもそのセキュリティリスクを最小限に抑えることができます。

TPRM プロセスを自動化することは、完全なリスク管理を確立するための大切なステップの1 つです。プロセス自動化には、次のような利点があります。

  • 取引先企業の管理の柔軟性の向上
  • 取引先企業の管理とそのプロセスの標準化
  • セキュリティに対する評価軸とレポートの一貫性
  • 客観的なデータを基にした意思決定
  • 自社組織の全体的なリスクの評価とリスクの軽減

TPRMプロセスを自動化することで、新規、または、既存にかかわらず、すべての取引先企業へのプロセスを標準化することができます。また、これまでリスク評価に掛けてきたコスト/リソースを削減することができます。

2.アンケート形式のリスク評価を客観的なデータで補強し、取引先企業を評価する

これまで、取引先企業に対するリスク評価は、アンケート/実地調査/ペネトレーションテストといった手法によって行われていました。これらの方法には、それぞれ長所と短所があります。実地調査によるリスク評価とペネトレーションテストは、多大な時間とお金を要します。そのため、すべての取引先企業に使用することはできず、セキュリティインシデントが発生した際に自社に最も影響がある取引先企業に絞って適用されることが主です。

そして、その他の大半の取引先企業に対しては、アンケートによるセキュリティ態勢の評価が行われています。しかしながら、アンケートは取引先企業の主観的な報告であり、取引先企業との信頼関係の上に成り立った手法ではありますが、客観的な視点を欠く評価方法です。

従って、アンケートで取引先企業が回答した内容がその企業のセキュリティ状態を現実的に描写したものであることを客観的なデータを基に検証できるソリューションが必要です。

セキュリティソリューションの中には、取引先企業による評価を提供するものが多数あります。最適なソリューションを見つけるには、以下の観点を備えているかを精査する必要があります。

  • 客観的なデータを基に取引先企業を正確に評価している
  • 取引先企業とのコミュニケーションを容易にする
  • 潜在的な侵害を定量的に示唆している

3. 特定の一時点での状況ではなく、継続的なモニタリングを利用して、取引先企業を評価する

前節で述べた評価手法の多くはある共通の欠点を持っています。それは、「取引先企業の特定の一時点のセキュリティ態勢しかリスク評価することができない」ということです。多くの場合、リスク評価によって収集された情報は、時間の経過とともに劣化していきます。攻撃者が新しい攻撃を開発するスピードや脆弱性を悪用するスピードは速く、企業の一時点の評価や1年に1回ののレビューでは、実際のセキュリティ態勢を正確に知ることができません。

取引先企業のリスク評価に継続的なモニタリングプロセスを実装することは、対応時間を短縮し、そのセキュリティ態勢の可視性を向上させるために非常に効果的な方法です。

継続的な監視を通じて、取引先企業のセキュリティを強化し、一貫した説明責任を全うできます。これにより、潜在的なセキュリティインシデントに対する全体的なリスクを最小限に抑えることができます。

TPRMの実装方法

TPRM プログラムの継続的なモニタリングの実装方法については、「How to Revamp Your VRM Program」の記事シリーズのパート2 (英文)で説明しています。セキュリティインシデントが発生した際に自社に最も影響がある取引先企業を優先順位付けし、次に、継続的に監視する運用プロセスを定義します。そして、取引先企業に継続的な監視を提供する自動化されたリスク評価ツールとソリューションを探し、セキュリティ運用として実装します。

結論

最適なTPRM プログラムを実践するために、これまでのセキュリティ運用を全面的に見直しをする必要はありません。代わりに、リスク評価を実践する上で、何が重要かを定義する必要があります。この記事で強調した3つの観点は、TPRMを実装/実践する際に、大きな変化をもたらし、これまで管理できていなかったリスクを低減し、万が一、セキュリティインシデントが発生した場合において、その対応時間を短縮することが可能です。

TPRMを自動化し、客観的な取引先企業のリスク評価を利用し、継続的な監視を行うことで、成熟したTPRM プログラムが完成し、新規取引先企業とビジネスを開始した際も、比較的簡単にそのセキュリティ態勢を評価できるようになり、自社組織を安全に保つことが可能になります。


他の人気ブログ

  • セキュリティ投資の効果測定で検討すべき20の評価基準
  • Why SecurityScorecard? SecurityScorecard はサイバー リスク レイティング マーケットでLeaderとして評価を受けています
  • 10項目のセキュリティ リスク マネジメントに関する考慮事項
Join us in making the world a safer place
Join Us
Social-linkedin Social-facebook Twitter Instagram Youtube

SecurityScorecard
Tower 49
12 E 49th St
Suite 15-100
New York, NY 10017

[email protected]

United States: (800) 682-1701
International: +1(646) 809-2166
  • 製品
  • ソリューション
  • 顧客
  • マーケットプレイス
  • パートナー
  • リソース
  • 会社概要
  • 信頼性ポータル
  • セキュリティ レイティング
  • ログイン
  • ブログ
  • お問い合わせ
  • 採用情報
    人材募集
  • 利用規約
  • プライバシーポリシー
  • 特許
  • クッキーの使用について
© 2022 SecurityScorecard