Businesses are ignoring third-party security risks
2023/06/30 HelpNetSecurity — サードパーティとの連携が重要な役割を担う、ダイナミックなビジネス環境において、セキュリティおよびコンプライアンス要件に重大な影響を及ぼす、さまざまなリスクに企業は直面していると、Panorays は述べている。こうしたリスクの深刻性から、厳しい経済状況の中であっても、積極的な管理が必要とされている。Panorays のレポートには、サードパーティのリスク管理における差し迫った課題と新たな戦略を明確にするための、統計とトレンドが掲載されている。
第三者との関係に潜むリスク
強固なサードパーティ・セキュリティ・リスク管理 (TPSRM:Third-Party Security Risk Management) プロセスが必要であることは明白である。なぜなら、58%の企業が 100社以上のベンダーを管理しており、それらのベンダーの 8%が 1,000社以上のベンダーを管理しているからである。
企業の 84%がサードパーティのセキュリティ・リスク管理を優先しており、サードパーティとの関係がもたらす潜在的な脅威に対する認識が高まっていることが伺える。サードパーティのセキュリティ・リスクを継続的に監視している組織は、わずか 13%に過ぎない。したがって、特に重要なベンダーを考慮する場合において、現在のリスク管理手法には大きな隔たりがあることが浮き彫りになっている。
また、企業の 44%は、新しいサードパーティとの提携に3週間以上を要しており、サードパーティとの連携管理の複雑さを浮き彫りにしている。52% が手作業によるデータ収集とベンダーとのコミュニケーションを面倒に感じており、より自動化された合理的なプロセスの必要性が示唆されている。
さらに、43%は第4者ベンダーのセキュリティ・リスクを十分に把握しておらず、サプライチェーン全体の可視性の強化の必要性も明らかになった。
データ侵害のコストは $435M に到達
Panorays のレポートでは、ますます複雑化する規制環境に直面する企業は、多数のサードパーティとの関係管理に取り組んでおり、58%の企業が 100社以上のベンダーを管理していることが強調されている。このような課題があるにもかかわらず、最近の IBM と Ponemon のレポートによると、データ侵害のコストは平均で $4.35M に達しているという。この点も考慮すると、サードパーティの深刻なリスクに対して、積極的な管理が必要であるといえる。
Panorays の CEO である Matan Or-El は、「企業は相当数のサードパーティとの関係を管理しており、サードパーティのセキュリティ・リスク管理が、あらゆる分野の企業にとって優先事項であることは明らかだ。しかし、我々の調査によると、多くの企業がデジタル・サプライ・チェーン全体の継続的なリスク監視と可視化のための、効果的な戦略を十分に活用していないことが分かる」と述べている。
また、同社の Co-Founder/CTO である Demi Ben-Ari は、「企業はサードパーティのセキュリティ・リスク管理を優先し、サードパーティ・パートナーの身元と重要性を理解することに、常に注意を払わなければならない」とコメントしている。また、Or-El は、「我々のレポートは、サードパーティのリスク管理手法においては、戦略的な改良と継続的な適応が必要であることを明確にしている」と締め括っている。
たまたまですが、同じく 2023/06/30 にポストした「TSMC への LockBit 攻撃:身代金として $70 million が要求されているが・・・」が、このケースに当たるのでしょう。TSMC のサードパーティ管理が、そして、ビジネス・サプライチェーン管理が、上手く行われているなら、Lockbit による法外な身代金要求は無視されるのだろうと思われます。よろしければ、以下の関連記事も、ご参照ください。
2023/03/01:SaaS 資産の混乱:3rd/4th パーティとの共有状況を定量化
2023/02/01:3rd パーティーから 4th パーティーへの可視化の拡大が不可欠
2022/02/28:Toyota の国内工場 14ヶ所と 28生産ラインが停止
IoT OT Security News 
You must be logged in to post a comment.