公開日:2024年5月29日
寄稿者:Matthew Finio、Amanda Downie
サードパーティー・リスク管理(TPRM)は、サードパーティーのベンダーやサービス・プロバイダーへの業務外部委託に関連するリスクを特定・評価し、これを軽減します。
相互接続とアウトソーシングがますます進んでいる世界では、サードパーティー・リスク管理(TPRM)は不可欠なビジネス戦略です。TPRMは、組織が外部ベンダーやサービス・プロバイダーと関わることで直面するリスクを特定して軽減します。これらのサードパーティーは、ITサービスやソフトウェア開発からサプライチェーン管理やカスタマー・サポートに至るまで、さまざまなビジネス機能に関与している可能性があります。
TPRMの必要性は、サードパーティーとの関係に伴う特有の脆弱性から生じます。業務の外部委託は、コスト削減や拡張性、専門知識の利用などの利点をもたらしますが、組織を潜在的な問題にさらすことにもなります。TPRMは、組織がサードパーティーとの取引関係と、これらのベンダーが採用している保護手段について包括的に理解できるようにすることを目的としています。これにより、運用の中断やセキュリティー侵害、コンプライアンス違反などの問題の阻止が可能になります。
TPRMは、ベンダー・リスク管理(VRM)やサプライチェーン・リスク管理などの用語と同義であり、さまざまなサードパーティーの関与にわたるリスクに対処するための包括的なアプローチを形成します。これには、デューデリジェンスやサードパーティーのリスク評価、修復、継続的な監視などの普遍的な原則が含まれており、サードパーティーが規制を遵守し、機微データを保護し、運用の回復力を維持し、環境・社会・ガバナンス(ESG)基準を満たすことを保証します。
TPRMの一部であるデジタル・リスクには、財務や風評、環境、セキュリティーの問題が含まれます。ベンダーによる知的財産や機微データ、個人識別用情報(PII)へのアクセスが、サイバーセキュリティー・フレームワークとサイバー・リスク管理戦略におけるTPRMの重要性を浮き彫りにしています。
単一の部門がサードパーティー・リスク管理(TPRM)を普遍的に所有しているわけではなく、組織によって異なります。企業に専任のTPRMチームがある場合もあれば、これらの責任をさまざまな役割に分散している場合もあります。TPRMに関連する一般的な部門や役職には、最高情報セキュリティー責任者(CISO)や最高調達責任者(CPO)、最高情報責任者(CIO)、最高プライバシー責任者(CPO)、情報技術(IT)、サプライチェーン・マネージャーなどがあります。
効果的なTPRMは、組織をアウトソーシングのリスクから保護し、より強固でレジリエンスに優れたパートナーシップを構築します。TPRMを中核業務に組み込むことで、企業はセキュリティーやコンプライアンス、業務の整合性を維持しながら、外部の専門知識を活用できます。これにより、脆弱性が管理されたリスクに変換され、安全で規制に準拠した成長が可能になります。
外部ベンダーやサービス・プロバイダーには重大なリスクが伴うため、サードパーティー・リスク管理(TPRM)が不可欠です。サードパーティーとの関係には、顧客データや内部システムなどの特権情報へのアクセスが含まれることが多く、サイバー攻撃の入り口となるおそれがあります。リスクは、下請け業者またはサードパーティーが契約する追加のサービス・プロバイダーである第四の外部関係者にまで及びます。
これらの保護を第三、第四の外部関係者に拡大することなく、社内のサイバーセキュリティー対策のみに焦点を当てている組織は、侵害やその他のセキュリティー・インシデントに対して脆弱なままになります。
TPRMが重要な理由はいくつかあります。
規制コンプライアンスの達成:GDPRやCCPAなどのデータ・プライバシーやデータ保護規制では、組織がサードパーティーのコンプライアンスを規制することが求められています。サードパーティーによる侵害は、たとえその組織が侵害に直接責任を負っていなかったとしても、主要な組織に多額の罰金や風評被害をもたらすおそれがあります。
オペレーション・レジリエンスの向上:サードパーティーの混乱は、遅延や欠陥、運用上の問題を引き起こすおそれがあります。効果的なTPRMは、こうした脆弱性を特定して軽減することでビジネスの継続性を担保します。これはサプライチェーンに依存する業界にとって特に重要であり、そこでTPRMはスムーズな運用を維持し、品質基準を維持するのに役立ちます。
ベンダーとの関係の管理:サードパーティーとの関係は、そのセキュリティー基準によって異なります。TPRMには、ベンダーが高いセキュリティと倫理基準を遵守していることを確認するための徹底したデューデリジェンスやリスク評価、継続的な監視が含まれます。
サイバーセキュリティー・リスクの軽減:サードパーティーは機微データや社内システムにアクセスできることが多く、サイバー攻撃の潜在的な侵入口となります。強力なTPRMは、サイバーセキュリティー対策をこれらの外部組織に拡張し、侵害やデータ漏洩から保護するためのデータ・セキュリティーも備えています。
評判の維持:サードパーティーの行動は、組織の評判に直接影響を及ぼします。サードパーティーのリスクを管理することで、企業はブランドや顧客の信頼を損ないかねない非倫理的行為や不正行為を回避できます。
ビジネス・インパクトの保護:適切なTPRMを行わなければ、サードパーティーとの関係が、企業をリスクにさらすことになり、そのリスクが企業の収益に長期的な影響を及ぼすおそれがあります。TPRMは、データ侵害の管理コストやコンプライアンス違反による訴訟費用、ダウンタイムによる損失など、サードパーティーの障害に関連する経済的損失を組織的に回避するのに役立ちます。
複雑さと攻撃対象領域の軽減:サードパーティーが一つ増えるごとに、組織の攻撃対象領域が増えます。TPRMは、多数のサードパーティー接続によってもたらされる潜在的な脆弱性を管理することで、複雑さを軽減します。
サードパーティーのリスクを効果的に管理することで、企業は業務を保護し、相互接続されたアウトソーシング環境で成功できるようになります。
組織は、既存のベンダー情報を一元化し、既存のテクノロジーと統合したうえで、社内のビジネス・オーナーに評価やインタビューを実施することで、 サードパーティーを特定します。この段階には、サードパーティーのエコシステムのインベントリーを構築し、組織にもたらす固有のリスクに基づいてサードパーティー・ベンダーを分類することが含まれます。
組織はRFPを検討し、特定のビジネス・ニーズと基準に基づいて新しいベンダーを選出します。これにはリスクの露出の評価が含まれ、社内セキュリティと情報セキュリティー対策の正確性と有効性を確認するためにアンケートやオンサイト評価が必要になる場合があります。考慮される主な要素には、ベンダーのセキュリティー評価とセキュリティー体制、業界標準への準拠、組織要件への全体的な適合などが含まれます。
組織は、潜在的なリスクを理解するために、さまざまな規格(ISO 27001、NIST SP 800-53など)を使用して、選出したベンダーの徹底的なリスク評価を実施します。サードパーティー・リスク交換を利用して事前に完了した評価にアクセスする企業もあれば、評価自動化ソフトウェアやスプレッドシートを使用する企業もあります。
リスクを評価した後、組織はリスク軽減策を実施します。これには、リスクにフラグを立ててスコアを付け、リスク・レベルが組織のリスク選好の範囲内で許容できるかどうかを判断し、リスクを許容レベルまで下げるために必要な管理を実装することが含まれます。継続的なモニタリングは、データ侵害や規制変更など、リスク・プロファイルを変える可能性のあるイベントを特定するために使用されます。
このフェーズはリスク軽減と重なる場合があり、ベンダーとの交渉と契約の最終決定が含まれます。重要な側面には、秘密保持条項やNDA、データ保護契約、サービス・レベル契約(SLA)などの重要な条項が契約に盛り込まれていることの確認が含まれます。契約は、主要なリスク管理上の懸念事項とコンプライアンス要件に対処するように構成する必要があります。ベンダーは、組織のシステムとプロセスに統合することでオンボーディングされます。
組織は、すべてのサードパーティーとのやり取りとリスク管理活動の詳細な記録を維持します。TPRMソフトウェアを導入すると、包括的で監査可能な記録管理が容易になり、レポート作成とコンプライアンスの向上が可能になります。
サードパーティー・ベンダーを継続的に監視することは、サードパーティー・ベンダーのセキュリティー体制とリスク・レベルについての継続的な洞察を提供するため、非常に重要です。監視すべき主なイベントには、規制の変更、財務上の存続可能性、ベンダーのリスク・プロファイルに影響を与え得るネガティブなニュースなどが含まれます。
ベンダーとの関係を終了する場合、組織はすべてのデータと資産が安全に返却または廃棄されること、およびコンプライアンス目的のためにオフボーディング・プロセスの詳細な記録が維持されることを保証する必要があります。オフボーディング・チェックリストは、必要な手順がすべて確実に実行されていることを確認するのに役立ちます。
組織は、効果的なTPRMのためにいくつかのベスト・プラクティスを採り入れられます。ここにいくつかの重要な戦略を挙げます。
組織の目標を定義する
- TPRMを組織全体のリスク管理戦略に合致させる
- サードパーティーを差別化する堅牢なインベントリーを作成し、必要な保護措置を特定する
- 複数の分野(財務リスク、業務リスク、コンプライアンスリスク、戦略リスク、風評リスクなど)をカバーするリスク・マッピングを確立する
利害関係者の賛同を得る
- プロセスの早い段階で利害関係者を巻き込んで、TPRMプログラムを効果的に設計・実装する
- 経営陣によるすべてのサードパーティー・リスクの認識と連携を徹底する
- 重要な全関係者(リスクとコンプライアンス、調達、セキュリティー、営業チーム)の協力を確保する
- 関連する全部門からの意見を取り込んだ包括的な戦略を立てることで、サイロ化したアプローチを回避する
TPRMプログラムの確立
- 一貫性と再現性のあるリスク管理プロセスのためのガバナンス構造を備えたプログラム的なアプローチを開発する。例えば、定期的なWebセミナーによる関係者への最新情報の継続的提供。
- サードパーティー・リスク管理プログラムを、組織固有の規制やデータ保護、リスク許容度の要件に合わせて調整する
正確なベンダー・インベントリーを維持する
- すべてのサードパーティーの最新インベントリーを維持するための戦略を実施する
- サードパーティーの状況に対する包括的な可視性を確保して、セキュリティー・リスクを効果的に管理する
ベンダーの優先順位付け
- ベンダー・インベントリーをリスクと重要度に基づいて階層セグメント化
- より厳格なデューデリジェンスと継続的なモニタリングのために、リスクの高いベンダーにリソースを集中させる
契約プロセス中にセキュリティーを評価する
- 交渉終了時ばかりではなく、調達の過程でサードパーティー・ベンダーのセキュリティー評価を実施する
- セキュリティー要件を早期に契約に組み込んで、契約の最終稿が完成する前にコンプライアンスを確保し、リスクを軽減する
サイバーセキュリティーの先を見据える
- サイバーセキュリティーに限らず、さまざまなリスクに対処する
- 評判や地理的、地政学的、戦略的、財務的、運営的、プライバシー、コンプライアンス、倫理的、事業継続性、業績、環境などのリスクを考慮する
- 関連するすべてのリスクを理解し、包括的なTPRMプログラムを構築する
TPRMソフトウェアを使用したプロセスの自動化
- 反復的なTPRM プロセスを自動化して効率の向上を図る。TPRMソフトウェアは次のようなプロセスが合理化可能:
- ベンダーのオンボーディングとリスク評価
- 軽減対策タスクの割り当てとパフォーマンス・レビューの実施
- 通知の送信とレポートの生成
継続的モニタリングの実装
- サードパーティー・リスクをリアルタイムで評価するための継続的モニタリングを実現する
- 自動化ツールを使用してセキュリティーとコンプライアンスの問題を迅速に検知する
- サードパーティー・リスクの状況を常に把握し、変化に積極的に対応する
このIBM TPRMモジュールを使用すると、業績を向上させ、ベンダーとの契約を効率的に管理できます。
有効性と効率性を高めながら、変化する市場状況、進化する規制や負担の大きい業務によるリスクを管理します。
サイバーセキュリティー・コンサルティング、クラウド・セキュリティー・サービス、マネージド・セキュリティー・サービスなど、業界の世界的リーダーとして、事業の変革とリスク管理を支援します。
このインタラクティブ・ツアーでOpenPages UXを探索し、チームがリスクを特定し、最新の規制要件を確認し、リスク評価の管理を開始し、ワークフローを管理する様子を追体験しましょう。
IBM OpenPagesソリューションが、コンプライアンスと複数のラインにわたる業績向上を実現するための、リスクを意識した意思決定にどのように役立つかをご覧ください。
脅威インテリジェンスでセキュリティー対策に自信を持ちましょう。
ロサンゼルス市がIBM Securityと協力して、この種初のサイバー脅威共有グループを作成した方法についてお読みください。
Centripetal社の脅威インテリジェンス運用によるリアルタイムでのサイバー脅威対抗方法を学びましょう。
企業のさまざまなサイバー攻撃に対する脆弱性の積極的軽減方法についてお読みください。