取引先が多い企業がサプライチェーン攻撃を防ぐ方法は？

自社の取引先や顧客のうち、最も防備が整っていない組織を犯罪者は狙う。サプライチェーン攻撃の基本だ。取引先や顧客が多い場合はどのように対処できるだろうか。

[Sam Olyaei, Gartner，Gartner]

　あなたの組織が持つ業務上の秘密情報や顧客の個人情報を狙う攻撃者は、最も弱い部分を狙う。

　対策をあまりとっていない取引先や、脆弱（ぜいじゃく）性の管理に重きを置いていないベンダーだ。取引先やベンダーの数が多い場合はどのような対策を取ればよいのだろうか。

サプライチェーン攻撃を防ぐにはこうする

　そのためにはセキュリティリーダーやITリーダーが利害関係者を巻き込んでポリシーを定めることから始める。危険要因を特定し、事前に定義した緩和策を推進する必要がある。

　以下、Gartnerのバイスプレジデント、サム・オリャエイ氏が「Cybersecurity Dive」に寄稿したサードパーティーリスクへの効果的な対応策を紹介する。

　あまり良くない対応は、ベンダーの切り捨てだ。CISO（最高情報セキュリティ責任者）は重要なサードパーティーとの契約を取りやめるのではなく、許容できないリスクから企業を守るために必要な最低限の基準や管理の方法を取り決め、サードパーティーと共同で守ることを強く打ち出すべきだ。

サードパーティーリスクポリシーとスコープを定義する

　サードパーティーのサイバーリスク管理を一社だけで達成することはできない。効果的に実行するには、経営幹部や調達担当者、サプライチェーン担当者、法律顧問など関連する利害関係者が参加して期待値を設定して、決定を下し、決定した基準を適用する必要がある。

　第1のステップとして、セキュリティリーダーはまず、協働するサードパーティーの範囲を特定することから始めるべきだ。これには、ネットワーク環境で動作する機器やソフトウェアのベンダーをはじめ、顧客やサプライチェーンパートナー、ビジネスパートナー、さらには規制当局を含む場合もある。

　第2のステップは低リスクだと考えられるサードパーティーとの契約と高リスクのサードパーティーとの契約を分けることだ。リスク委員会または取締役会と共同で契約を分類して、企業が許容できるセキュリティリスクを決定する。

　例えば、サードパーティーが業務上の機密情報を暗号化せずに保管するリスクは許容できても、顧客データを暗号化せずに保管するリスクは許容できないかもしれない。ビジネス環境の中で最も重大なリスクをもたらすサードパーティーを特定しなければならない。

　第3のステップはこうだ。リスクシナリオに基づいて、最低限必要な基準や譲れない事項を策定する。例えば、「全ての顧客データを転送中や保存中に暗号化しなければならない」「自社のシステムにアクセスする全ての人員は、犯罪歴の背景調査を受けなければならない」といった事項だ。

　これらの基準を社内外で共有して、調達の依頼に盛り込む。さらには外部向けWebサイトで公開して、サードパーティーの行動規範にも盛り込んでもらう。

　最後に全てをまとめるために、サードパーティーのセキュリティリスクに関するハイレベルなポリシーを文書化する。これにより、ビジネスや調達の担当者、IT担当者、利害関係者に対し、どのような種類のサードパーティーが調査を必要としているのか、何を期待するのか、防御能力をどのように評価するのかを明確にできる。

対象範囲内のサードパーティーに対して「トリアージアプローチ」を採用する

　多くの規制では、サードパーティーのセキュリティ能力を評価することが求められている。しかし、ベンダーに自社のセキュリティ対策について質問を送ったとしても、対策が一貫して適用されているのか、将来にわたって失敗しないのか、あるいは失敗しない性質のものなのかは分からない。

　こうして、CISOは潜在的なリスクへの対応ではなく、分析に多大な労力を費やすことを余儀なくされる。

　ほとんどの規制はサードパーティーがもたらす脅威の大きさに見合った分析を実行することを求めている。「トリアージアプローチ」はCISOが適切なレベルの分析を進め、関連するアクションを決定する際に役立つ。

　トリアージアプローチでは、各当事者について以下の事項を検討しなければならない。

・機密情報や顧客情報へアクセスしたり、保管したり、処理したりしているか？
・自社のネットワークへ仮想的または物理的にアクセスしているか？

　これらの質問に対する答えが「いいえ」であれば、セキュリティチェックは必要ないかもしれない。これらの質問のいずれか、または両方の答えが「はい」であれば、次のステップは必要な軽減策を決定することだ。

　例えば、機密データや顧客データを保管して、社内システムにアクセスできるサードパーティーは「クリティカル（重要）」なサイバーリスクカテゴリーに属すると考えられる。

　このカテゴリーに対する所定の措置は、「標準化された情報収集（SIG）調査」「ISO/IEC 27001」「SOC 2（Service Organization Control 2）Type 2の認証」「物理監査」になる可能性がある。

　一方、顧客データではなくビジネス上の機密データを保管して、システムにアクセスできないサードパーティーは「ミディアム（中程度）」のカテゴリーに属し、おそらくセキュリティ評価サービスを利用したパッシブな周辺スキャンが必要になるだろう。

　これらのチェックをサードパーティーとの連携に組み込むよう、利害関係者に奨励する。

　例えば、調達部門はよりリスクの高いサードパーティーを評価するために、その防御能力を調べる前に契約依頼に評価要件を盛り込んでおく。法務部門は暗号化規格や侵害通知、認証レポート、特定されたコントロールギャップの是正に関する要件など、特定のシナリオに関する契約条項を盛り込むことができる。

　これらの措置はサードパーティーのセキュリティ管理を企業のビジネスプロセスとして制度化する際に役立つ。

リスクに対処するための事前定義されたアクションを開発する

　サードパーティーのサイバーリスクの測定に多大な投資をしているにもかかわらず、どのような評価結果が出たとしても、次のアクションに結び付かないことが多い。なぜなら分析結果と、CISOがビジネスで実行可能なアクションを伝える能力との間に、しばしば断絶が生じているからだ。

　事前に定義された一連のアクションだけではうまくいかない。ビジネス上実行可能なソリューションをCISOが提供しなければならない。こうすることで最も一般的なサードパーティーリスクのシナリオを軽減できる。

　例えば、サードパーティーが機密データを暗号化せず、顧客の機密情報を流出させる可能性があるというリスクを特定した場合、BYOK（Bring Your Own Key）を通じてデータを暗号化したり、サードパーティーとの手続きを打ち切ったりする措置が考えられる。

　リスクと軽減策を独自にリストアップして、積み重ねていくことをお勧めする。

モニタリングとレポーティングの計画を実施する

　サードパーティーリスクのモニタリングとレポーティングを継続的に進めていく必要がある。多くのCISOは、ITベンダーからのリスクなど、一部のサードパーティーについてサイバーリスクを既に監視している。

　しかし、これはCISOが単独で責任を負うべき活動ではない。ガバナンスやサービス、サードパーティーの自己報告を組み合わせて使用することがベストプラクティスだ。

　サイバーリスク登録の管理の他、リスク要因や事象の変化への対応、関連するステークホルダーへのリスク報告などのリソースの割り当て、サードパーティーのサイバーリスクを監視、伝達する計画を進めなければならない。

出典：How to implement an effective system to address third-party risk（Cybersecurity Dive）

注1：Guiding CIOs and IT executives to accelerate digital business

注2：Webinars