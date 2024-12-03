セキュリティー

サードパーティーのアクセス： データ保護計画において見落とされがちなリスク

建物の前を歩く2人の男性

共同執筆者

Nimrod Iny

Product Marketing Manager for DSPM - IBM Guardium Data Security Center

IBMが発表した最近のデータ侵害のコストに関する調査報告では、自社のセキュリティー・チームを通じて侵害を発見する企業はわずか42％という驚くべき統計が明らかになりました。これは、特に外部パートナーやベンダーに関しては、重大な盲点があることを浮き彫りにします。

財務上のリスクは大きいです。複数の環境に影響を与えるデータ侵害のコストは平均して488万ドルという高額になります。2023年1月に起きた電気通信プロバイダーにおける大規模な侵害は、サードパーティーとの関係に伴うリスクを痛感させるものとなりました。このケースでは、攻撃者がサードパーティ・ベンダーのアクセスにおける脆弱性を悪用し、4,000万人以上の顧客の個人情報が流出しました。

データ保護がそのような課題である理由

2022年には、データ侵害の20％が第三者と関連しており、風評被害や事業の中断による経済的損失がさらに拡大しました。管理する機密データが膨大であるため、脅威アクターはサードパーティー・ベンダーを標的にすることがよくあります。ベンダーのセキュリティー対策の可視性が限られているため、サードパーティーのリスクの管理は非常に困難な場合があります。

サイバーセキュリティー企業は、パートナー候補が直接関与することなく、パートナーのセキュリティー体制のアセスメントを実施することができるが、組織は、誰がどのデータにアクセスできるかを把握する上でかなりのハードルに直面しています。どのベンダーが機密情報への読み取り権限や書き込み権限を持っているかを特定することは、複雑で時間のかかる作業です。手作業のプロセスやサイロ化されたデータは、効果的なベンダー・アセスメントの妨げになることがよくあります。

IBMニュースレター

The DX Leaders

AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。

ご登録いただきありがとうございます。

ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。

DSPMソリューションは役に立つのでしょうか

データ・セキュリティー・ポスチャー管理（DSPM）は、サードパーティのリスクを低減するためのプロアクティブなアプローチを提供します。DSPMによってベンダーのアクセスと権限の可視性を高めることで、セキュリティー・チームは次のことが可能になります。

  • ベンダーのアセスメントを合理化して、機密データへのサードパーティーのアクセスのアセスメントを容易にします。
  • ライブレポートを生成し、ガバナンス、リスク、コンプライアンス (GRC)およびセキュリティチームにベンダーのアクセスレベルに関するリアルタイムの洞察を最新の状態に保ちます。
  • コストのかかる問題になる前にサードパーティのリスクを特定して軽減することで、セキュリティを強化します
オフィスでミーティングをするビジネスチーム

IBMお客様事例

お客様のビジネス課題（顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など）を解決した多岐にわたる事例のご紹介です。

コンプライアンス・リスクについてはどうでしょうか。

サードパーティーによる侵害は、コンプライアンスに重大な影響を与えることが多いです。主な懸念事項はシャドー・データであり、データ組織は存在を知りません。実際、侵害の35%にはシャドー・データが関与しており、追跡と保護の取り組みが複雑になっています。複数の環境にデータが分散していることは、データ侵害の40％にこの状態にあり、この課題はさらに深刻化しています。その結果、シャドー・データが関与する侵害のコストは16％高くなり、特定と封じ込めに時間がかかります。

こうしたコンプライアンス・リスクに対処するために、DSPMソリューションに注目する組織が増えています。DSPMは、データ・アクセスと使用状況を継続的に可視化することで、EU一般データ保護規則（GDPR）、米国医療保険の相互運用性と説明責任に関する法律（HIPAA）、およびペイメント・カード業界データ・セキュリティー基準（PCI DSS）などの規制への準拠を維持するのに役立ちます。DSPMツールを使用すると、組織は潜在的な違反、特にサードパーティーの侵害に起因する違反を迅速かつ効率的に特定して修復できるため、機密データの保護や規制義務の遵守に役立ちます。

IBMのGuardium DSPMで、サードパーティーのデータ・アクセスを制御しましょう。このソリューションは、最新のクラウド環境の複雑さに対処するために設計された独自の主要な機能を提供します。

  • ベンダーの接続と権限の可視化： クラウド環境に接続しているベンダーと、そのベンダーが持つアクセスのレベルを正確に把握します。
  • リスクの高いベンダーの特定： 機密データにアクセスできるベンダーを迅速に特定します。
  • プロアクティブな脆弱性テスト： 公開ベンダーの認定資格を使用して、潜在的な脆弱性をシミュレートし、不正アクセスの試みをテストします。

サードパーティー・データの安全を確保するという重要な課題

急速に進化する今日のビジネス世界では、サードパーティー・リスク管理は任意ではなく、必須事項です。侵害による金銭的コストや風評コストは、見過ごすわけにはいきません。

IBM Guardium DSPMは、サードパーティーのリスクに対する管理を取り戻すために必要なツールを提供します。IBM Guardium DSPMは、明確な可視性を提供し、アセスメントを簡素化し、脆弱性をプロアクティブに検知することで、組織が機密データを保護し、顧客の信頼を維持できるよう支援します。