サードパーティのリスク管理という難題:自動化のための 3−Step で捉えてみよう

3 Steps to Automate Your Third-Party Risk Management Program

2023/02/21 TheHackerNews — “サードパーティ・データ漏洩” でググってみると、最近のサードパーティへの攻撃によるデータ漏洩や、サードパーティに保管されていた機密情報の漏洩などの、多数の報告があることが分かる。サードパーティによるデータ漏洩が業界により差別化されないのは、ビジネス・パートナー/請負業者/再販業者/IT ソフトウェア/IT プラットフォーム/サービス・プロバイダーなどの、ほとんど全ての企業が、何らかのベンダーとの関係を持ちながら運営されているためである。Osano のレポートによると、現時点における組織/企業は、平均で 730社のサードパーティとデータを共有しており、デジタル・トランスフォーメーションの加速に伴い、その数は増加の一途をたどっているという。


サードパーティー・リスク・マネージメントの重要性

CyberRisk Alliance のレポートによると、より多くの組織が、より多くのサードパーティとデータを共有しており、過去2年間におけるセキュリティ・インシデントの 50% 以上が、アクセス権を持つサードパーティに起因していることは驚くべきことではない。

ほとんどのセキュリティ・チームは、サプライチェーンの可視化を優先することに同意している。しかし、残念なことに、最も重要なベンダーの可視化を行っている組織はわずか 41% で、サードパーティのエコシステム全体の可視化を行っている組織はわずか 23% であることが、同レポートでは指摘されている。

Third Party Risk Management (TPRM) への投資が進まない理由は、時間がない、資金やリソースがない、ベンダーと連携することがビジネス上必要であるといった、繰り返して聞かれてきたものである。では、サードパーティ・サイバー・リスク管理を妨げる障壁を、簡単に克服するためには、どうすれば良いのだろう? それは、自動化である。

自動化のメリット

組織が、より少ない労力で、より多くのことを行うための力を、自動化が与えてくれる。Graphus が強調する自動化がもたらすメリットのいくつかを、セキュリティの観点から紹介していく。

  • サイバー・セキュリティに関する調査において、IT 担当役員の 76% が、セキュリティ担当者の効率が自動化により最大化されると回答している。
  • セキュリティの自動化は、手作業で行っていたセキュリティのコストを、80% 以上削減できる。
  • 42% の企業が、セキュリティの自動化を、サイバー・セキュリティの体制強化に成功した主な要因として挙げている。

TPRM に自動化を適用すれば、プログラムを以下のように変化させられる。

Step_1:継続的脅威暴露管理 (CTEM) でベンダーを評価

継続的脅威露出評価 (CTEM:Continuous Threat Exposure Management) には、以下を取り込んだ包括的な評価が含まれる。

  • 自動化された資産の発見
  • 外部のインフラ/ネットワークに関する評価
  • Web アプリケーションのセキュリティ評価
  • 脅威インテリジェンスに基づく分析
  • ダークウェブの発見
  • より正確なセキュリティ評価

アンケートを送るだけの場合と比較して、サードパーティに対する包括的な分析が可能になる。ベンダーが迅速かつ正確に回答する場合でも、手動によるアンケート処理では、ベンダーごとに 8~40 時間も掛かることがある。しかし、このアンケートによるアプローチでは、脆弱性の確認や、コントロールの有効性の検証はできない。

CTEM 機能を取り入れ、質問票と統合することで、ベンダーの審査時間を短縮することが可能になる。この組み合わせにより、新規ベンダーの評価と導入にかかる時間を 33% も短縮できることが分かっている。

Step_2:質問票の交換を使用する

大量のアンケートを管理する組織や、大量のアンケートに回答するベンダーは、アンケート・エクスチェンジの利用を検討する必要がある。簡単に言えば、スタンダード/カスタムのアンケート・リポジトリをホストし、承認が得られたときに他の関係者と共有できるようにするものだ。

上記の自動化を行うプラットフォームを選択した場合には、継続的な評価により自動検証された最新のアンケートに、両サイドの当事者がアプローチできるようになる。繰り返しになるが、この場合にも、既存のアンケートへのアクセス要求や、再利用できるアンケートへの回答で、チームの時間を節約できる。

Step_3:脅威の暴露に関する知見と質問票の交換を継続的に結合する

セキュリティ評価だけでは、上手くいかない。アンケートだけでサードパーティを評価しても、上手くいかない。正確で直接的なセキュリティ評価を組み込んだ CTEM と、有効なアンケート (アンケートが評価を照会してセキュリティ評価を更新する) とを組み合わせることで、継続的なサードパーティ・リスク管理のための、強力なソリューションとなり得る。過去の OSINT データのみに依存せずに、アクティブ/パッシブな評価を用いるプラットフォームは、その時点におけるサードパーティに特化したものであり、正確な攻撃表面の可視性を提供する。

この情報を活用して、セキュリティとコンプライアンスのフレームワーク要件に関するアンケートで、適用が可能なコントロールを自動的に検証し、クライアントの回答とテクノロジー評価の結果との不一致に対して、フラグを立てることができる。それにより組織は、サードパーティのレビューに対して、真の “信頼するが検証する” アプローチを得ることが可能となる。この処理が迅速に進められるため、サードパーティが特定の技術的制御に準拠しなくなったときには、通知の発行も可能になる。

サードパーティ・サイバー・リスク管理プログラムの効率を最大化したい組織は、プロセスの自動化を検討すべきである。複雑化していくマクロ経済環境において、企業は自動化に目を向けることで、チームが費やす労力を軽減しながら、進捗を生み出し、目標を達成できる。その一方で、チームのメンバーたちは、他のイニシアチブに集中できるようになる。

注:この記事は、CISSP の元 CISO である Victor Gamra が執筆したものである。彼は、業界をリードする CTEM 企業である FortifyData の創設者兼 CEO である。

FortifyData のオールインワン・サイバーリスク管理プラットフォームには、自動化された攻撃対象領域の評価や、資産の分類、リスク・ベースの脆弱性管理、セキュリティ評価、サードパーティ・リスク管理などの機能が組み込まれており、組織レベルでサイバー・リスクの管理を支援するものになっている。詳細については、www.fortifydata.com を参照してほしい。

せっかく、自社のセキュリティ体制を強化しても、サードパーティを介したサイバー攻撃の被害に遭ってしまっては、なんの意味もありません。これから先は、サードパーティのセキュリティ管理が重要になってくるでしょう。2023/02/01 の「サプライチェーン調査:3rd パーティーから 4th パーティーへの可視化の拡大が不可欠」には、3rd/4th パーティにおけるデータ侵害に関する統計値などが記載されていますので、よろしければ、ぜひ、ご参照ください。