信用できるのは誰? サード パーティ リスクおよびベンダー リスクの効果的な評価方法

多くの組織において、サイバーセキュリティは、純粋に技術的な要素からエンタープライズ リスクの要素へと成熟しつつあります。これは、情報セキュリティのリスクも、他のエンタープライズ リスクに対して使用されているのと同じ広範なフレームワークに照らして評価する必要があることを意味します。

これは大きな進化ですが、問題点もあります。

企業があらゆるリスクを共通のフレームワークに照らして評価する必要があるとはいっても、オールマイティ型のリスク評価ツールがあるわけではないのです。これは、サード パーティ リスクやベンダー リスクを効果的に評価する方法に関しては特に当てはまります。

サード パーティやベンダーがもたらすリスクは、一貫性のある方法で包括的に評価することが重要です。しかし、たとえば人事業務(または施設のセキュリティ業務)のアウトソーシングによって生じるリスクは、ソフトウェア プロバイダーやクラウド プロバイダーなどのテクノロジー ベンダーによってもたらされるリスクとは根本的に異なります。

たとえば、施設チームに権限や保証を付与し、すべてのスタッフの身元調査を実施することと、テクノロジー プロバイダーによってもたらされるリスクを軽減することとはまったく別の問題です。リスクにはさまざまなものがあります。しかも絶えず変化しており、新しい脅威も出現しています。さらに、ITベンダーによってもたらされるリスクの影響は短期間で広がることが多く、方法論を重視した、時間のかかる企業のリスク管理プロセスでは対処できません。業界のエキスパートによると、ほとんどの企業では脆弱性を解決するのに8~10週間かかるそうです。これは、サイバーセキュリティの世界では長すぎます。脆弱性は、数日や数週間ではなく、数分や数時間で悪用されることもあるのです。

結局のところ、ITおよび情報セキュリティのプロフェッショナルが、テクノロジー プロバイダーによってもたらされるリスクに特別の注意を払わなければならないのです。リスクはデータに依存し、絶えず変化します。そのため、ITのリスク管理業務に関する基準を満たし、サード パーティから企業を守る準備を整える必要があります。

では、サード パーティによる無用なテクノロジー リスクを回避するために、情報セキュリティのプロフェッショナルは何をすればよいでしょうか。以下に、推奨事項をいくつか示します。


  • すべてのプロバイダーに対して包括的なセキュリティ テスト(脆弱性テストを含む)を実施し、テストに合格したプロバイダーとのみ契約を結ぶ。

  • サード パーティと連携するプロバイダーに対し、契約の条件としてセキュリティ関連の資格を取得するよう奨励する。これは、サプライヤーの認定に役立つほか、エンタープライズ規模の組織がコンプライアンス プロセスやエスカレーション プロセスを作成する際にも役立ちます。

  • ベンダーの認定と継続的な脆弱性管理に関するプロセスを自動化する。これに関するツールをまだ持っていない場合は、入手することを検討してください。ITベンダーのリスク管理に関する分野には、さまざまなプレーヤーが存在します。このような自動化ツールを評価する際には、導入済みおよび導入予定のインフラストラクチャとの統合の可否、データ ソースの包括性、リアルタイムで対応して修復案を提示できるかどうかを確認します。

  • 戦略の中でクラウド プロバイダーを特に重視する。Cloud Security Allianceは、クラウド プロバイダーとお客様の双方が利用できる標準とベスト プラクティスの作成に取り組んでいます。

このように、サード パーティ リスクを評価することは重要です。ITベンダーに関しては、独自の脆弱性を組織にもたらす可能性のある、特有の懸念事項があります。セキュリティ プロフェッショナルは、こうしたリスクを評価するためのフレームワークを作成する必要があります。しかも、エンタープライズ全体のリスクに加え、ITベンダーによってもたらされる特定の懸念事項にも対処できるフレームワークでなければなりません。

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments