サードパーティーリスクとNIST サイバーセキュリティフレームワーク(CSF)への対応

はじめに

NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework / CSF)は、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)が発行しており、サイバーセキュリティ対策を行うにあたり、世界中の企業・公的機関・組織が参考としている汎用的な基準です。

CSFは自身の組織だけではなく、取引先の評価をするにあたっても重要な指標です。
十分な精査を行わないままで重要なベンダー・取引先を決定すると、サードパーティのデータ侵害が発生した場合に、自らの組織が風評被害、罰金、その他の課題にさらされる可能性があります。

BitSightはNISTサイバーセキュリティフレームワークにも対応

BitSight セキュリティレーティングでは、情報セキュリティ対策の効果をNISTサイバーセキュリティフレームワークに沿って継続的に監視できます。セキュリティレーティングの情報は、NISTフレームワークに自動でマッピング(関連付け)されます。そのため、サイバーセキュリティ成熟度の評価と重要傾向の特定が即座に可能です。BitSightのデータは毎日更新されるため、変化のキャッチと速やかな対応、また経営幹部や重要取引先(サードパーティー)、監査チームとの評価結果の共有が可能です。

ベンダーリスクの視点

NISTサイバーセキュリティフレームワークには、サイバーセキュリティの成熟度を評価する「ティア(Tier)」という評価軸があります。評価は「ティア1(部分的である)」から「ティア4(適応している)」までの4段階です。

新しいベンダーとの取引を検討する場合、情報セキュリティ部門や調達部門が、新たなベンダーごとのセキュリティ成熟度評価を任されることが少なくありません。その場合、セキュリティ診断やアンケート調査によりデータを収集するのが一般的ですが、回答に偏りがあると正確な結果を得られないこともあります。

疑わしいデータで重要ベンダーを判断すると、取引先で情報漏えいが発生した場合、風評被害の問題や罰金の支払いといった問題に対応しなければならないこともあります。

BitSightのデータの正確性は、独立した第三者機関によって裏付けされたものであり、世界有数の企業からも信頼を得ています。BitSightは侵入テストやネットワークスキャンを必要としません。BitSightのオンラインプラットフォームがセキュリティの評価指標をNISTサイバーセキュリティフレームワークに自動で関連付けしてくれるためです。そのため、ベンダー候補のサイバーセキュリティ対策の成熟度を迅速かつ正確に評価できます。

継続的監視の価値

新たなサイバー脅威が現れると、情報セキュリティチームは自社のサイバーセキュリティ能力だけでなく、取引企業の能力についても評価しなければいけません。セキュリティ診断やアンケート調査から得られるのは、その時点におけるサイバーセキュリティ対応を断片的に切り取った情報にすぎません。BitSightのセキュリティレーティングは毎日自動で更新されています。そのため、自社や重要取引先のセキュリティ対応をNISTサイバーセキュリティフレームワークに沿って追跡することが可能です。こうした追跡は、新しいベンダーとの取引開始時や、サイバーセキュリティに関する役員会へのプレゼン、監査役への情報共有などの場合に重要です。

【主な特長】BitSightによるNIST サイバーセキュリティフレームワークへの対応

NIST サイバーセキュリティフレームワークへ自動でマッピング

BitSightセキュリティレーティングの情報は、NIST サイバーセキュリティフレームワークに自動で関連付けされるため、自社はもちろん取引先のサイバーセキュリティ成熟度を即座に評価できます。

セキュリティギャップの特定が容易

BitSightを利用している企業は、自社のセキュリティ対策とNISTサイバーセキュリティフレームワークの重要部分とのギャップをクローズアップしたレポートを簡単に出力できます。出力されたレポートは、サイバーセキュリティに関する討議資料として役員会や重要取引先と共有できます。

正確かつ信頼された評価指標

世界中の様々な産業の企業が、BitSightが提供する正確かつすぐに役立つデータを頼りに、サイバーセキュリティリスクのリスクマネジメントを行っています。BitSightセキュリティレーティングは、リスクモデリング企業による複数の独自調査でもその有効性が証明されています。

サイバーセキュリティ成熟度の継続的監視

アンケート調査やセキュリティ診断はコストや時間がかかり、その時点における企業一社の断片的な情報しか得られません。BitSight の場合、自社のセキュリティ能力のほか取引先企業のセキュリティ能力を継続監視でき、NIST サイバーセキュリティフレームワークに沿っているかを任意のタイミングで診断できます。

一緒によく読まれている記事

関連したサービスの紹介記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。