経営幹部が心配している「サードパーティーリスク5選」:Cybersecurity Dive
サプライチェーンを狙ったサイバー攻撃が激化していることで、サードパーティーリスクへの対策に注目が集まっている。調査から経営幹部が懸念するサードパーティーリスク上位5つが判明した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
コンサルティング企業であるEYが大手企業の経営幹部500人を対象に実施した最近の調査によると(注1)、サードパーティーリスク管理(TPRM)において最も企業が懸念しているのは「業務リスク」だという。この調査では、現在のTPRMが新たなリスクが存在する現在の環境と根本的にかみ合っていないと指摘されている。
経営幹部が心配している「サードパーティーリスク5選」
経営幹部たちが挙げたサードパーティーリスクに関する懸念事項の上位5つは、業務リスクおよび財務リスク、サイバーセキュリティリスク、プライバシーリスク、規制リスクだった。
このデータは、企業がセキュリティやプライバシー管理が不十分な下請け業者を雇用することによる影響を懸念する傾向が強まっていることを示している。サプライチェーンやサードパーティーに対する侵害を伴う多くのサイバー攻撃を受けて、これらの懸念はさらに高まっている。
ネットワーク管理ツールを提供するSolarWindsや(注2)、サイバーセキュリティソリューションを提供するKaseyaのインシデント(注3)、米国財務省および米国の通信企業に対する中国による侵害をはじめ(注4)(注5)、大規模なサイバー攻撃の多くにサードパーティーに対する侵害が関与している。その結果、企業はサードパーティーリスクの分析と管理にこれまで以上に注力するようになった。今回のEYの報告書は、幅広い業種や多様な国の企業リーダーが、これらの脅威にどう対応すべきかを模索していることを示している。
この調査によると、企業は重要なサードパーティーの定義を見直しつつある。依存関係を整理する上でこれは重要な視点となるだろう。報告書では「重要なサードパーティーを定義する際、『財務的影響』が最も重要な基準になると考える回答者の割合は43%だ。それに次いで『業務プロセスや機能の重要性』と回答した人の割合が39%である」と記されている。企業が業務機能の重要度を優先的に評価しようとする取り組みは、国家インフラを対象にした米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)の類似のプロジェクトとも一致している(注6)。
企業が業務の多くを外部に委託するようになったことで、このような業務機能に着目したリスク管理のアプローチはますます重要性を増している。EYの報告書では「あらゆる業界で、企業は人事からビジネスインテリジェンス、サプライチェーンの物流に至る全ての分野でサードパーティーのサービスプロバイダーに依存している」と述べられている。その結果、サードパーティーに依存する業務機能の数が増え、それに伴ってサードパーティーリスクにさらされる範囲が拡大しているのだ。
報告書によると、AIはTPRMの一部の業務を自動化する助けになる可能性があるという。具体的には、ベンダーのリスト作成やデューデリジェンスのための書類審査、過去のインシデントに基づくリスク評価、契約書の文言を分析して潜在的リスクを特定する作業などが挙げられている。
EYの報告書は、サードパーティーリスクを適切に管理するためには、企業がこの問題を組織内の高いレベルで取り上げ、AIの利点と限界を正しく理解し、リスク分析の方法を大きく変えるような技術的な転換点の到来に備えることが重要だと結論付けている。
(注1)How AI navigates third-party risk in a rapidly changing risk landscape(EY)
(注2)One year later: Has SolarWinds changed how industry builds software?(Cybersecurity Dive)
(注3)Kaseya: What’s known (and unknown) about the ransomware attack(Cybersecurity Dive)
(注4)Chinese hackers accessed thousands of Treasury files, including Yellen’s, officials told lawmakers(Politico)
(注5)Salt Typhoon gained initial access to telecoms through Cisco devices(CyberScoop)
(注6)National Critical Functions(CISA)
関連記事
NECが仕掛ける“自社ビルSOC”は何がスゴイのか? 新施設をのぞいてみた
NECは「.JP(日本のサイバー空間)を守る」をスローガンに、サイバーセキュリティ事業のさらなる強化を図るという。その一環として、KDDIとの協業に加えて“自社ビル”でのグローバルSOC構築に向けて新施設を公開した。そのメリットとは何か。
日本を標的にした大規模フィッシングキャンペーンが激増 その高度な手口
Proofpointは、日本を標的とした大規模な「CoGUI」フィッシング攻撃を観測した。攻撃者は楽天やPayPayなどの有名ブランドを装い、ユーザーから個人情報を盗み取ろうとしている。
Cursor AIを狙ったサイバー攻撃が横行 3200件以上のダウンロードを確認
人気の次世代AIコードエディター「Cursor AI」を標的とした悪意あるnpmパッケージが見つかった。インストール後に認証情報を窃取し、エディターの内部コードを改ざんするという。3200件以上のダウンロードが確認されているため注意が必要だ。
大荒れのサイバー空間 激増するフィッシングに対抗する3つの防御策
フィッシング攻撃が激増しています。対策としては事業者側での多要素認証の導入などが挙がっているものの、これを回避する事例なども話題になっており十分とはいえません。大荒れするサイバー空間で個人ができることはあるのでしょうか。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- Microsoft 365の値上げが訴訟 Copilotの抱き合わせ販売問題が再燃
ITmediaはアイティメディア株式会社の登録商標です。