この記事はBitSight社のブログを翻訳したものです。
原題:Third Party Services: The Cyber Risk They Pose and How to Protect Your Organization
https://www.bitsight.com/blog/third-party-services
サプライチェーンリスクマネジメント
顧客サービスの提供と効率アップには、パートナー、ベンダー、クラウドサービスプロバイダー、下請業者など、数十から数百のサードパーティと連携する必要があります。
ところが、サードパーティとデジタル的につながることで、サイバーセキュリティ攻撃にさらされる危険は大幅に増大します。サードパーティサービスプロバイダーのセキュリティ対策やプラクティスに欠陥があると、SolarWindsハッキング事件のように、自社のセキュリティ対策が比較的堅牢であったとしても、データ、システム、ネットワークが危険にさらされる可能性があります。実際、Opinion Mattersが実施した調査によると、ベンダーに起因するセキュリティ侵害を経験したことのある米国組織は、全体の92%にのぼります。
ここでは、契約期間中、サードパーティのサイバーリスクを効果的に監視する4つの方法を解説します。
増加するサードパーティサービスの現状を把握する
企業の成長に伴い、サードパーティのデジタルエコシステムも成長します。ベンダーとの関係を評価することは、ベンダーがもたらすサイバーリスクを理解する上で重要です。Ponemon Instituteが実施した調査によると、サードパーティとの関係を継続的に把握していない組織は、全体の3分の2を占めています。
これは、驚くべきことではありません。ガートナーによれば、2019年、組織の60%が、1,000社を超えるサードパーティと連携しています。パンデミックの影響からクラウドサービスの導入を急ぐ企業が増加し、シャドーIT問題が深刻化していることを考えれば、サードパーティとの関係を把握できていない企業は急増しているはずです。
このような状況で、サプライチェーン内で複雑に絡み合うビジネス関係を把握するのは至難の業です。そのためには、サプライチェーン内のベンダー、さらにはその先の下請業者までを、簡単かつ迅速に把握できる機能が必要です。
BitSightは、この問題を解決するために、拡大するエコシステムを継続的に監視し、ベンダーやその先の下請業者との関係を可視化するツールを開発しました。このツールがあれば、機密データがどのように流れていくか、どのベンダーがどのシステムにアクセスしているかを特定し、リスクの高い取引先を識別できます。また、ベンダーを階層ごとにグループ化することで、リスクの高い階層に評価リソースを割り当てることが可能になります。
スナップショットを超えた機能でサードパーティリスクを把握する
ベンダーポートフォリオの範囲を確認したら、サイバーリスクが新たに発生していないか、各サードパーティを監視する必要があります。セキュリティ評価や侵入テストは、サイバーリスクの深刻度の測定や優先順位付けに役立ちますが、ほとんどの場合、ある時点でのセキュリティ態勢のスナップショットにすぎません。また、実行に時間がかかるため、拡大するサプライチェーン全体を把握するのは困難です。
BitSight for Third Party Managementのような継続的モニタリングソリューションは、評価ギャップを埋め、進化するサイバーリスクをより正確に把握する機能を備えています。BitSightセキュリティレーティングプラットフォームを基盤とするこのソリューションは、サードパーティのセキュリティ態勢のスナップショットをほぼリアルタイムで取得できます。レーティングのスコアが高くなるほど優れたセキュリティ対策が講じられており、低くなるほど改善が必要であることを示します。
BitSightを使用すれば、さらに厳格なセキュリティ評価でセキュリティプロセスやポリシーを精査する必要があるベンダーを特定できます。
ベンダーのオンボーディングプロセスのスピードアップは、BitSightの大きなメリットの1つです。当該ベンダーと契約を締結した後であっても、契約期間中、ベンダーのセキュリティ態勢を継続的にモニタリングできます。ベンダーのスコアが低下した場合にはアラートが自動通知され、ベンダーと協力してリスクを軽減できます。
ベンダーと協力して成熟したセキュリティプログラムを目指す
ベンダーには、ネットワークセキュリティの問題が検知されたことを単に通知するだけでなく、インサイトを共有する必要があります。
BitSightでは、ベンダーがフォレンジックデータにアクセスし、ベンダーの環境に存在する潜在的な脆弱性やセキュリティリスクを識別できます。この機能は、大規模なサイバー攻撃やランサムウェア攻撃で特に威力を発揮します。
ベンダーポートフォリオをグループ化しておけば、グループ内の各ベンダーに自動通知できるため、個別にメールを送信する必要がなくなります。また、プラットフォームへのアクセス権限をグループに付与することで、ベンダーは自社のITインフラが最新の脅威に侵害されているかどうかを確認できます。ダッシュボードでは、ベンダーがどのような行動をとり、セキュリティ態勢が改善されているかどうかを確認できます。
セキュリティパフォーマンス管理について報告する
サプライチェーンのサイバーリスクを軽減するには、脅威に対する最善の防御方法について全員の認識を一致させる必要があります。ところが、これは必ずしも容易ではありません。経営幹部にとって技術的なメトリクスや専門用語は難解ですし、セキュリティ部門のリーダーにとって、サイバーリスクを実際のビジネス成果に結びつけて考えることは困難です。
しかし、BitSightがあれば、サイバーリスクの現状を明確に伝え、サードパーティのリスク管理プログラムの有効性を、専門用語を使わずに中央プラットフォームのデータで提示できます。ベンダーポートフォリオ内のサイバーリスクを可視化して報告し、リスクの高いベンダーを特定します。
経営幹部と役員がサプライチェーンリスクについて明確かつ率直な意見交換を行うことにより、リソース配分に優先順位を付け、リスクの評価・管理・拡張方法をベンダーエコシステム全体で変革できます。
ベンダーリスク管理戦略の変革では、サプライチェーンのサイバーリスク管理プロセスを最適化する方法を解説しています。
BitSightのサービス内容について
弊社のBitSightサービス紹介ページをご覧ください。
この記事をシェア |
---|
一緒によく読まれている記事
-
- ランサムウェアの被害者になるリスクを低減するためのFACTに基づく戦略
- この記事はBitSight社のブログで公開された調査結果を日本語訳したものです。 https://www.bitsight.com/blog/ransomware-prevent...
-
- CIS クリティカルセキュリティコントロール(CSC):その趣旨と実装方法
- この記事はBitSight社のブログを翻訳したものです。 原題:CIS Critical Security Controls: What Are They and How Can...
関連したサービスの紹介記事
-
- Bitsightを活用して、経済産業省の「 ASM(Attack Surface Management) 導入ガイダンス」を実践しましょう
- この記事はBitsightのブログを日本語に翻訳したものです。2023年5月に発表した経済産業省の「 ASM(Attack Surface Management) 導入ガイダンス...
-
- 企業・組織のサプライチェーンを守る:経済産業省が新たなセキュリティ対策評価制度(格付け)の構築へ
- ※「サプライチェーン強化に向けたセキュリティ対策評価制度」は、2024年9月現在検討中の項目です。詳細は経済産業省より発表される最新の情報をご確認ください。 Bitsightと他...