How to design a third-party risk management framework
2024/07/12 HelpNetSecurity — ほとんどの組織において、ルーター/サーバー/ファイアウォール/エンドポイントなどの保護に重点が置かれているが、たとえば、サードパーティ・ネットワークのような見慣れない起点を、組織を攻撃するためにハッカーが悪用するケースもある。ただし、強力な TPRM (Third Party Risk Management) フレームワークを用いれば、企業によるパートナーのリスク・プロファイルが把握され、ビジネスの保護が可能になる。効果的なサードパーティ・リスク管理のフレームワークがあれば、ベンダーのリスクや脆弱性により、組織のビジネスの保護が保証される。それは、資産を保護し、規制へのコンプライアンスを確保し、組織の評判を守るものだ。
1. ステークホルダとパートナーの関与
最初に考えるべきは、フレームワークを作成するための、部門横断的で有能なチームを、編成する必要性である。経営/リスク管理/IT/調達/法務/サイバー・セキュリティ/コンプライアンスなどの、各部門の代表者が参加していることを確認する。
そうすることで、すべてのチームが連携し、サードパーティやベンダーのリスクを効率的に管理するために貢献できる、適切なリソースの確保が達成される。
2. すべてのサードパーティを分類する
組織内で利用されている、すべてのサードパーティ・サービス・プロバイダーとベンダーのリストを作成する。提供されるプロダクトやサービスの性質、アクセスされるデータの種類、データ・アクセスの範囲などについて、さらには、フォースパーティとの関係などについて、各種パラメータに従って分類する。
サードパーティ・ベンダーの中には、組織の成功に不可欠なものもあれば、重要でないものもある。グループ化することで、組織の成功に不可欠/不要な関係を切り分けることができる。また、地政学的な不安定さや、規制の違いを考慮し、地理的なロケーション基づいてベンダーを分類することも必要である。
3. リスク許容度と範囲を明確にする
組織にとっての重要性に基づいて、サードパーティ・ベンダーを分類した後に、関係するサードパーティの種類とリスク要因を特定することで、サードパーティ・リスクマネジメント・サービスとフレームワークの範囲を定義する必要がある。また、ある程度のリスクは常に存在するものであり、自社が許容できるリスク・レベルを考え出す必要性も生じてくる。
コンプライアンス/サイバーセキュリティ/ビジネスの中断に関する、リスクの許容度を決定する。TPRM フレームワークの範囲を定義する際には、業界特有の基準や規制を念頭に置くようにする。
4. サードパーティ・リスク管理プロセスの確立
サードパーティ・リスク管理を、一元的に実施している組織においては、リスクへの理解が深まり、迅速な対応が可能になると報告されている。TPRM を一元的に実施している組織の 64% 以上が、コントロール評価を 30日~60日 で実施している。ベンダーのオンボーディング・ガイドラインを作成し、ベンダーのリスク・プロファイルに基づく事前審査プロセスを策定する必要がある。
実施すべきアンケートは、規制コンプライアンス/アクセス制御/データ暗号化/財務の健全性などの分野に重点を置く必要がある。ベンダーが組織のニーズに合致しているかどうかをチェックするためには、アンケートのカスタマイズが必須となる。
5. リスクの特定と軽減
効率的な TPRM フレームワークを構築するためには、リスクを体系的に特定し、評価する必要がある。そのためには、リスクが生じる可能性と、全体的な影響度に応じて、分類/評価を実施することで緩和のための戦略を改善していく。
リスクを効果的に軽減するためには、契約条項の強化や、セキュリティ管理の強化などが必要になる。そうすることで、サイバーセキュリティ・チームが強化され、組織に大打撃が生じる前にリスクが特定され、閣下として、時間内での対処が可能になる。
6. Diligence の実施
サードパーティ・ベンダーとの関係を最終決定する前に、そのパートナーの信頼性と、組織への適合性を確認する必要がある。
そのためには、ベンダーのパフォーマンスを監視/評価し、必要な規制を遵守していることを確認し、契約上の全義務が遵守されていることをチェックする必要がある。ベンダーに対する管理が、積極的かつ注意深くなれば、リスクは低減していくことになり、強力なパートナーシップの実現へといたる。
7. インシデント対応計画の策定
いつ、なんどき、データやセキュリティへの侵害が発生しても、適切に対処できるようにするための、適切なインシデント対応計画や是正措置を策定する。サードパーティの障害や混乱が、組織の運営に及ぼす影響を最小限に抑えるための、緊急時対応計画や事業継続計画を策定しておく。
警戒は怠らないが、脅威はいつでも発生する可能性がある。
8. コンプライアンス
適用される規制や法律に加えて、業界標準やサードパーティ・ベンダーとの契約上の義務を遵守する必要がある。サードパーティとの関係を議論するための、利害関係者/役員/経営幹部/規制当局の間での、オープンなコミュニケーションが必要となる。
こうすることで、TPRM 活動や、プログラムの状況/有効性に関して、利害関係者との連携を保つことができる。
9. 継続的なモニタリングと改善
最大の効率を得るためには、サードパーティ・リスク・マネジメント・サービスに対する継続的なモニタリングと評価が必要となる。それにより、過去の経験からの教訓を深く理解し、それに応じて改善することが可能となる。
また、ビジネス環境における新たな変化やリスクを特定し、リスクの評価/手続/方針といった、TPRM フレームワーク全体の強化に役立てる。
10. トレーニング
経営幹部から業務スタッフに至るまで、組織の全メンバーが同じ考えを持っていなければ、TPRM フレームワークは成功しない。
従業員がサードパーティ・リスクの管理における責任と役割を十分に理解できるよう、意識向上セッションを実施し、トレーニング・モジュールを構築する。リスク認識とリスク軽減を推進することで、組織内にセキュリティ第一主義を醸成し、各メンバーの注意力と説明責任を確保できる。
結論
適切な TPRM フレームワークを活用することで、リスク意識の向上、法規制遵守の強化、機密データや組織資産の保護、レピュテーションの向上に加えて、サードパーティとのパートナーシップに関する、より適切な意思決定が実現できる。さらに、データ漏洩/システムの脆弱性/財務上の損失を減らすことも可能となる。
業界の競争力と回復力を維持するために、サードパーティ・リスク・マネージメントのフレームワークを構築し、組織の全メンバーが、そのプロセスで足並みを揃えるようにすべきだ。
サードパーティ・リスクという、とても厄介な問題に、頭を悩ませている方が多いのではないかと想像しています。つい先ほどポストした、2024/07/12 の「AT&T モバイルの大半の call/text 記録が盗まれる:2022年に発生していた Snowflake 攻撃とは?」は、サードパーティ・リスク管理に対する反面教師のようなインシデントです。TPRM フレームワークがあれば、もちろん AT&T 側にあればですが、このような結果には至らなかった可能性が高いと思ってしまいます。2023/02/01 の「サプライチェーン調査:3rd パーティーから 4th パーティーへの可視化の拡大が不可欠」と、
2023/03/01 の「SaaS 内の資産は混乱している:3rd/4th パーティとの共有状況を定量化する」は、なかなか興味深い記事です。よろしければ、Snowflake で検索と合わせて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.