Skip to main content

【事例から知る】 SecurityScorecard の「サプライチェーン リスク マネジメント」への活用

発行日:2021年6月22日
執筆:中村悠、編集:中島朝可橋本詩保


以前書いたブログで、SecurityScorecard が提供する“セキュリティ リスク レイティング”は、「サプライチェーン リスク マネジメント」を実現するソリューションの選択肢の1つだという説明をしました。

自社だけなく、関連企業や取引先企業まで含め、セキュリティを管理するために必要なことは、『サプライチェーン全体のセキュリティ面での可視化/現状把握』です。

“セキュリティ リスク レイティング”の提供価値として、以下の2点がまず挙げられます。

1. 利用者は、各組織のドメイン名を入れるだけで他組織のセキュリティの態勢が数値化して把握できる点



2. 複数の組織を比較したい場合には、横並びでセキュリティ態勢の比較が可能な点


このブログでは、もう一歩踏み込んで、具体的に実際のSecurityScorecardのお客様が、”セキュリティ リスク レイティング”をどのように活用しているかを紹介します。


事例 その①

まず紹介するのが、北米で金融サービスを提供している Cadence Bank社の事例です。

Cadence Bank では、SecurityScorecard導入前も、「サプライチェー ン リスク マネジメント」という概念自体は導入されていました。ただ、事業を拡大するに伴って、取引先の数が増え、これまで行っていた運用では、取引先を管理しきれなくなりました。

また、それまでの取引先からのセキュリティ リスクのヒアリング方法にも、懸念を抱えており、取引先から提出されたSOCレポートやISO認定が、どうしても取引先の主観的な判断に基づいた回答になってしまっているという点でした。


そこで、導入したのが、 SecurityScorecard です。

SecurityScorecard の特長は、

  • 取引先のレイティング スコアがダッシュボードにアクセスすれば把握できる点
  • 客観的な視点で取引先のセキュリティ リスクのレイティング スコアを算出している点

です。

これらの特長を活かし、

“新規”取引先企業に対しては、契約前にデューデリジェンスを行うことを義務付け、その判断基準にSecurityScorecardのレイティング スコアを採用しました。つまり、新規取引先のレイティング スコアが一定の基準に達していない場合は、改善願いを通知するという運用を始めることで、サプライチェーン全体のセキュリティ リスクをコントロールすることが可能になりました。




“既存”取引先企業に対しては、それまで利用していた取引先からのSOCレポートやISO認定など主観的な回答に、SecurityScorecardで得られる客観的なレイティング スコアを組み合わせることで、取引先のセキュリティ リスクをより明らかにする運用に変えていきました。

レイティング スコアが一定の基準に達していない場合は、改善願いを通知するという運用を始めると共に、レイティング スコアの変遷を追い、取引先に対して、どのようなセキュリティ リスク対応を進めているのかのコミュニケーションも以前よりも頻繁に取ることにしました。




事例 その②

もう1つ、金融業のお客様 Modulr 社の活用事例を紹介いたします。

この企業も、SecurityScorecard導入前から、「サプライチェー ン リスク マネジメント」という概念自体は導入されていました。ただ、取引先のセキュリティ リスクを把握するために、複数の製品を組み合わせて利用されていたため、「複数のツールで得られた結果をまとめる煩雑さ」に追われていました。



そこで、企業や顧客のリスクの評価に関して、これまで複数のツールを利用していた作業を、SecurityScorecardに統合し、時間やコストの削減に成功しました。

さらに、SecurityScorecardが提供する”セキュリティ リスク レイティング”により、取引先や顧客のセキュリティ リスクを定量化して把握できるようになったために、コミュニケーションという観点で、以下の2つの効果を得られました。

  1. 上層部とのコミュニケーションの質が向上
  2. 取引先の状況に合わせたセキュリティに関するコミュニケーションが可能に



組織によって事情は異なると思いますが、SecurityScorecard の活用方法としては参考になる事例だと思います。

この2つの事例が、皆様の組織で、”セキュリティ リスク レイティング”のソリューションを「サプライチェー ン リスク マネジメント」に実装する際に、参考になれば幸いです。



他の人気ブログ