サプライチェーンのリスク管理を“超強化”する7つのステップ：今こそ見直したいサプライチェーンセキュリティ（1/2 ページ）

ランサムウェアをはじめとしたサイバー攻撃を防ぐには、自社だけでなく関連サプライチェーンまで含めて防御力を底上げする必要があります。本稿は、サプライチェーンのリスク管理を強化する7つのステップを解説します。

[藤本 大，SecurityScorecard株式会社]

　今日の相互に連携したビジネス環境では、第三者とのパートナーシップは成長と業務効率化のために必要不可欠です。しかしこうした協力関係は、ときにセキュリティの領域において固有のリスクをもたらします。

　例えばランサムウェア攻撃が激化する中、子会社や関連企業の脆弱（ぜいじゃく）性を突かれて侵入を許し、結果的に親会社に大きな被害を及ぼすケースもあります。2023年3月に発生した小島プレス工業のランサムウェア被害や、2024年6月にKADOKAWAグループの「ニコニコ動画」関連のサービスで発生したインシデントはその代表例です。

　こうした現状を踏まえると、効果的なサードパーティー（サプライチェーン）のリスク管理は機密データを保護し、事業継続性を維持するために極めて重要です。

　本連載は「サードパーティー由来のリスク管理を強化する方法」や「サードパーティー由来のデータ漏えいに対処する方法」「サードパーティーのサイバーセキュリティリスクを防ぐためのチェックリストのポイント」を解説します。

筆者紹介：藤本 大（SecurityScorecard　日本法人代表取締役社長）

1996年に日本電信電話に入社し、東日本電信電話、NTTコミュニケーションズで法人営業に従事。 製造業、サービス業、金融業等の大手日本企業や外資企業を担当し、ネットワークサービスのみならずさまざまなセキュリティサービスを提供。 2017年にファイア・アイに入社、パートナー営業部長として主に大手通信事業者とのパートナービジネスの拡大に貢献。 2020年7月1日にSecurityScorecardに入社し、2021年6月24日より現職。1971年長崎県長崎市生まれ。青山学院大学国際政治経済学部卒業

サードパーティー由来のリスク管理を“超強化”する7つのステップ

　第1回では、デューデリジェンス（価値・リスク評価）と継続的なモニタリングの重要性を強調しつつ、サードパーティーとのパートナーシップによってもたらされるリスクを管理、軽減するためのステップ・バイ・ステップのアプローチをお伝えします。

ステップ1：サードパーティー由来のリスク管理プログラムの確立

　包括的なサードパーティー由来のリスク管理プログラムを開始することは、外部の脅威から組織を守るための基本的なステップです。このプロセスは、プログラムの範囲を明確に定義し、サードパーティーと関連するあらゆる側面を網羅することから始まります。ベンダーやサプライヤーからサービスプロバイダーに至るまで、あらゆるサードパーティーとの関係を特定し、それらの組織をリスクのレベルに基づいて評価、分類することが非常に重要です。この分類は、リスク管理対策の優先順位付けに役立ちます。

　まずはサードパーティー由来のリスクを管理するための明確な枠組みを提供する方針及び手続を策定します。これらの方針はリスクの特定や評価、軽減、モニタリングなどの側面を網羅し、サードパーティー由来のリスクに対する包括的なアプローチを確保する必要があります。

　プログラムの効果的な実施と監視を確実なものにするためには、役割と責任を割り当てることが重要です。これには評価の実施や実績のモニタリング、確立された方針の順守の強制など、サードパーティー由来のリスク管理の調整を担当するチームまたは個人を指定することが含まれます。

　サードパーティー由来のリスクマネジメントプログラムを組織全体のリスクマネジメント戦略に統合することは不可欠です。この統合によって、サードパーティー由来のリスクが組織のリスク状況においてより広い視野で考慮され、他のリスク管理や戦略的目標と整合が進みます。

　サードパーティー由来のリスク管理プログラムをしっかりと構築して強固な基盤を築くことで、組織は外部との連携に伴うリスクをより効果的に管理し、全体的なセキュリティ態勢を強化できるでしょう。

ステップ2：デューデリジェンスの実施

　徹底的なデューデリジェンスを実施することは、第三者と連携する前の重要なステップです。このプロセスでは、サードパーティーの業務のさまざまな側面、特に組織のセキュリティ体制に影響を与える側面を評価します。その目的は、パートナーシップに潜在するリスクと、それらのリスクを効果的に管理するサードパーティーの能力を包括的に理解することです。

　このデューデリジェンスプロセスにおける主な行動としては「サードパーティーの過去の実績と過去のインシデントのレビュー」「データ保護とセキュリティを評価」が含まれます。

　サードパーティーの過去の実績と過去のインシデントのレビュー。このステップは、サードパーティーのセキュリティ課題への対応実績を把握する上で極めて重要です。過去のインシデントや対応戦略、復旧策を分析することで、サードパーティーの回復力と将来の脅威に対する備えを把握できます。

　データ保護とセキュリティの実践を評価することは、それらがあなたの組織の基準を満たしていることを確認するために不可欠です。これには、セキュリティプロトコルや暗号化、アクセス制御、インシデント対応などに対する評価が含まれます。データセキュリティに対するアプローチを理解することは、その慣行が機密情報を保護するのに十分強固であるかどうかを評価するのに役立ちます。

　サードパーティーが規制上の義務、特にデータ保護とプライバシーに関連する義務を順守していることを確認するためには、業界標準と法的要件へのコンプライアンスを評価する必要があります。これには「ISO 27001」などの認証や、扱うデータの性質や地域によっては「一般データ保護規則」（GDPR）や「HIPAA」などの法律への準拠を確認する必要があります。

　徹底的なデューデリジェンスはリスクを軽減するだけでなく、安全でコンプライアンスに準拠したサードパーティーとの関係の基盤を築き、潜在的なセキュリティ侵害や法的影響から組織を保護します。

ステップ3：リスク評価と分析

　各サードパーティーベンダーの詳細なリスク評価は、効果的なサードパーティーリスク管理の重要な要素です。この評価はアクセスされるデータの種類や提供されるサービス、及びこれらの要因が組織のセキュリティ体制にどのような影響を及ぼす可能性があるかを考慮し、各サードパーティーとの関係性に合わせて徹底的に実施する必要があります。その目的は、どこに脆弱性があり、それが業務にどのような影響を及ぼす可能性があるかを明確に理解することです。

　このステップの主な要素としては「サードパーティーとの関係に関連するリスクを特定」「リスクの可能性と影響を判断」「ビジネスへの潜在的影響に基づくリスクの優先順位付け」があります。

　サードパーティーとの関係に関連するリスクを特定します。これにはサードパーティーのデータの扱い方やサードパーティーのシステムへのアクセスレベル、サードパーティーの業務におけるデータ侵害やその他のセキュリティインシデントの可能性の分析が含まれます。これらのリスクを理解することは、リスクを軽減するための的確な戦略の策定に役立ちます。

　これらのリスクの可能性と影響を判断することは、潜在的な課題を理解する上で不可欠です。この分析には、サードパーティーの過去のセキュリティインシデントや現在のセキュリティ慣行、扱うデータの機密性などを考慮する必要があります。リスクの発生確率と潜在的な影響範囲の両方を評価することで、これらのリスクに対するより良い準備と管理が可能になります。

　ビジネスへの潜在的影響に基づくリスクの優先順位付けでは、全てのリスクが同じ重みを持つわけではありません。業務に重大な脅威をもたらすものもあれば、影響が軽微なものもあります。リスクに優先順位を付けることでリソースをより効率的に配分し、最も重要な脆弱性の軽減にリソースを集中できます。

　包括的なリスク評価と分析を通じて、サードパーティーベンダーがもたらすセキュリティ課題について貴重な洞察を得られ、セキュリティ全体を強化するための積極的な対策を講じられます。

ステップ4：契約交渉と期待値の設定

　サードパーティーベンダーとの契約交渉は、セキュリティに対する期待や要件を設定し、正式化するための重要な段階です。これらの契約はデータセキュリティやインシデント管理、規制順守のあらゆる側面に対応する包括的かつ詳細なものであることが不可欠です。この段階は、単に組織を保護するだけでなく、データセキュリティの取り扱いについて相互理解と合意を形成することでもあります。

　このプロセスの主要な側面としては「サードパーティーが順守すべきセキュリティ対策とプロトコルの特定」「インシデントレスポンスと通知のプロセスとタイムラインの定義」「契約書に監査を盛り込むこと」があります。

　サードパーティーが順守すべきセキュリティ対策とプロトコルを特定することが不可欠です。これには暗号化やアクセス制御、ネットワークセキュリティ、準拠すべき特定の業界標準セキュリティフレームワークなどの要件が含まれます。これらの仕様は、ベンダーのセキュリティ慣行が組織の基準や期待に沿ったものであることを保証するのに役立ちます。

　インシデントレスポンスと通知のプロセスとタイムラインを定義することも、重要な側面です。契約書には、データ侵害やその他のセキュリティインシデントが発生した場合にサードパーティーが取るべき手順について、そのインシデントをいつ、どのように組織に報告すべきかを含め、明確に定義する必要があります。この条項によって、セキュリティインシデント発生時の迅速な対応とコミュニケーションが保証され、迅速な対応が可能になります。

　契約書に監査を盛り込むことは、サードパーティーが合意した条件を順守しているかどうかを評価する上で重要です。この権利によって、組織は内部または第三者を通じて定期的な監査を実施し、ベンダーが契約上のセキュリティ要件を順守していることを確認できます。監査は、ベンダーが継続的にセキュリティ義務を果たしていることをモニターし、保証する仕組みとして機能します。

　サードパーティーベンダーとの契約において、これらの側面を綿密にカバーすることで、組織のセキュリティ体制を大幅に強化し、サードパーティーとの関係に伴うリスクを最小限に抑えられます。このステップは両者がサイバーセキュリティに対する期待と責任について同じ見解を持つようにするための基本となります。