サードパーティー・セキュリティ・リスクの緩和方法

サードパーティーの製品やサービスは事業の運営に不可欠です。組織はコスト削減によるソリューションの最適化に依存するところが大きく、そのために外部エキスパートが必要になります。サードパーティーの組織は製品／サービスの迅速なデリバリ、コンプライアンス要件の遵守、組織の全体的な業績向上を約束します。

さまざまな業務の運営にサードパーティーを導入する理由として以下が挙げられます。

• 内部/外部で使用するツールやアプリケーションの提供
• ソフトウェアコンポーネントに関するサービスの実施
• 他のツールやサービスに関する専門的なコンサルティング
• 顧客向けプロフェッショナルサービスの一環
• 監査
• コンプライアンス目標の達成

サードパーティー・リスクとは

事業の運営に自社以外の組織が関与すると、脅威やリスクにさらされる機会が拡大します。サードパーティーの関与から生じる脅威に対して、企業はその資産に対するリスク管理アプローチを採用する必要があります。

このリスクを緩和しなければ、以下のような結果を招きかねません。

• ブランド、製品、サービスの評判失墜
• 機密データや個人識別データの消失
• 顧客の信頼や顧客との関係の喪失（侵害が生じた場合など）
• アウトソーシング・インフラストラクチャに起因する重要なシステムやネットワークリソースのダウンタイム
• サードパーティーによるシステム、ツール、アプリケーション、データへの不正アクセス
• 知的財産、営業秘密、著作権などの漏えいまたは喪失

サードパーティー・リスクを緩和する最適な方法

サードパーティー組織に対するリスク緩和戦略の策定は非常に手間のかかる仕事です。リスクの特定／緩和には実績ある自動化されたリスク管理プログラムが必要です。このプログラムは内部のアプリケーション/サービス、および外部のツール/サービスの両方に利用できます。

次に、サードパーティー・リスクを特定、評価、緩和するためのアプローチを検討していきましょう。

• 特定：リスクはサードパーティーの関与のあらゆるレベルで発見される可能性があります。これにはオンプレミスで利用される、または外部ネットワークでホストされるすべてのツールやサービスを考慮する必要があります。
• 評価：リスクを特定したら、評価を行って影響を慎重に査定し、考慮します。リスク格付けシステムでリスクの優先順位付けを行うことができます。
• 緩和：評価したリスクと脅威はコスト／時間の面で効果的な方法で緩和する必要があります。また、オープンなチャネルを通じてリスクをサードパーティーに伝え、是正する必要があります。

ステップ1：サードパーティー・セキュリティ・リスクを特定する

業務の範囲に応じて、サードパーティーのツールやサービスはさまざまなシステム、リソース、ネットワーク、アプライアンス、アプリケーションデータ（保存データまたは移動中のデータ）へのアクセスを許可されます。アクセスにはリスクの可能性が伴います。このような場合のセキュリティリスクの判定は厄介です。

サードパーティーの関与から生じる組織のセキュリティリスクを特定するために推奨されるベストプラクティスの概要を以下に示します。

• 脅威モデリングを実施してリスクを把握し、サードパーティー・ツールとのやりとりがある重要資産を解析する。
• すべてのサードパーティー・ツールおよびサービスのエントリーポイントとエグジットポイントを解析する。
• ペネトレーションテストとソースコード解析を行って、サードパーティー・ツールおよびアプリケーションのリスクを分類する。
• サードパーティーとのすべてのオンサイトの関係とやりとり（コンサルティングなど）をレビューする。
• サードパーティーが提供するサービスのレッドチームアセスメントを行って、その他のリスクを診断する。
• 使用するサードパーティーのツールやサービスに関して公開されているすべての未解決の脆弱性を考慮する。
   

ステップ2：サードパーティー・セキュリティ・リスクを評価する

リスクを包括的に緩和するには、評価のステップが重要です。このステップでは、リスクに優先順位を付けて精査し、時間・コスト面で効果的な方法で緩和します。リスク管理プログラムの成果をあげるには、各セキュリティリスクの（事業への影響に基づく）評価を考慮することが不可欠です。

サードパーティー・セキュリティ・リスクを評価する最適な方法を以下に示します。

• クリティカルなサードパーティー・ツール/サービスの評価に優先順位を付け、セキュリティプログラムの評価コストの増加を管理する。
• クリティカルな各サードパーティー・ツールのリスクが事業に与える全体的な影響の可能性を評価する。
• 公正なリソースの支援を受けてサードパーティーのツールやサービスを評価する。
• サードパーティーのツールおよびサービスについて、認定されたリソースと認定されていないリソースへのアクセスを定期的に評価する。
   

ステップ3：サードパーティー・セキュリティ・リスクを緩和する

脆弱性の特定と評価には緩和戦略も必要です。この戦略を用いて、特定したリスクの重大性を低減および是正します。

以下の対策を実践すれば、サードパーティーによってもたらされる脅威やリスクの緩和・防止に役立ちます。

• 組織の資産のアップストリームとダウンストリームの取引に加え、すべてのサードパーティー資産のインベントリを維持管理する。
• インベントリ対象の各サードパーティー・サービス／ツールについて、資産の所有権を主張する。
• SLA（サードパーティーのサービスレベル合意書）とNDA（秘密保持契約）を作成し、定期的に見直す。
• ツールやサービスを導入する前に、サードパーティーにリスク管理アプローチと期待事項を伝える。
• 脅威やリスクをサードパーティーに伝えるためのオープンなチャネルを設ける。
• 各サードパーティー資産のリスク・プロファイルを作成する。リスクプロファイルはセキュリティリスクが生じた場合の事業への全体的な影響（収益、サービスなど）を示します。
• すべてのサードパーティーのエントリーポイントとエグジットポイントに関する緩和策を実装する。
• 評価フェーズ（脅威モデリング、アプリケーションのペネトレーションテスト、ソースコード解析など）で見つかった各サードパーティー・リスクの是正アクティビティのタイムラインを作成する。
• 顧客や従業員に配布する前に、サードパーティーからの変更を一元管理し、レビューする。
• 顧客データについてサードパーティーが実装しているセキュリティ対策を監査する。侵害が発生した場合に備えて、データを他の組織と分離しておくことが重要です。
• サードパーティーがホストする鍵管理、データストア、およびその他の重要な資産を管理し、責任を持つ。
• サードパーティーの資産からシステムへの権限のあるアクセスと権限のないアクセスを精査する。
• サードパーティーから派遣されたオンサイトの要員とその行動を監視する。