TPRMガイド | サードパーティリスク管理

TPRMは、外部ベンダーと取引を行うすべての組織にとって重要なサイバーセキュリティの分野であり、正しく実施すれば侵害を防ぐことも可能です。

TPRMとは何ですか？ サードパーティリスク管理は、侵害やインシデントが発生する前に問題を軽減するために、サードパーティベンダーとその可能性のあるセキュリティリスクを分析し、管理するプロセスです。

サードパーティリスク管理とは？

2020年、ハッカーは主要なクラウドサービスおよびSoftware-as-a-Service（SaaS）プロバイダーであるSolarWindsのソフトウェアシステムに悪意のあるコードを挿入することができました。このコードは、同社のネットワーク管理システムであるOrion全体に広がり、内部技術だけでなく、クライアントの技術も侵害しました。侵害の知識が公になったとき、Microsoft、FireEye、Experianなどの企業や、国土安全保障省などの政府機関は、Orionのユーザーとして、侵害されたことを報告しました。

データ駆動型プラットフォーム、機械学習、人工知能、サイバーセキュリティ、分析—これらのますます重要な機能は、組織がデータと通信チャネルを活用して顧客やステークホルダーにリーチし、製品を構築し、技術システムの整合性を維持する方法を形作っています。

しかし、これらの機能は非常に複雑であるため、単一の企業や組織が独自に実装するのは通常困難です。これらは、高度なクラウド環境、機械学習と分析プラットフォーム、サイバーセキュリティツール、その他のソフトウェアおよびハードウェア構成を必要とし、それ自体では単一の組織が実装および維持するにはしばしば高価すぎます。

そのため、サードパーティベンダーの役割が大幅に増加しています。ベンダーは、組織が運用能力を強化するために必要なほぼすべてのものを提供できます。これらのベンダーは、クラウドインフラストラクチャ、マネージドセキュリティ、高度なクラウドコンピューティングおよびソフトウェアプラットフォームを、企業が必要に応じてサブスクリプションまたは契約契約を通じて使用する専用サービスとして提供します。サードパーティベンダーを通じたマネージドサービスは、効果を損なうことなく、オンプレミスソリューションよりも安価に使用できることが多いです。

しかし、サードパーティベンダーを使用することにはデメリットがあります：サードパーティリスク。

組織がサードパーティと協力する際には、セキュリティリスクが生じます。この文脈での「リスク」は、単なる侵害や攻撃のリスクではありません。むしろ、既存のセキュリティ対策と潜在的な脅威との関係を測定する指標です。リスクは、企業がシステムリソースを保護するために採用するセキュリティ対策と技術を決定するために測定するものです。ビジネスの文脈で有用であるサードパーティ技術は、クライアントのシステムに新たなリスクレベルを導入します。

主な問題の1つは、サードパーティベンダーが直接管理やクライアントの監視を受けないことです。彼らは独自のシステムを構築し、独自のスタッフを雇用します。これは彼らの価値提案の一部であり、クライアントのインフラストラクチャに潜在的なリスクが導入される領域です。

したがって、TPRMは、サードパーティベンダーと協力することによって生じるリスクを認識し、測定し、文脈化し、対処し（必要に応じて）軽減する実践です。さらに重要なのは、この実践が、サードパーティベンダーがもたらす可能性のあるリスクを理解し、協力するための組織のステップを指すことです。

TPRMの特徴

TPRMは広範な用語であり、企業によって定義が異なる場合がありますが、ほとんどのTPRMプログラムには、以下のような限られた一連の主要原則が含まれています：

1. リスクの特定と評価： TPRMは、情報資産および活動に関連するリスクを特定、評価、優先順位付けする能力を提供します。
2. プロセス管理： TPRMは、プロセスが適切に機能し、リスクを許容レベルまで低減するために、プロセスが整備されていることを保証します。自動化されたワークフローとプロセス管理機能を通じて、TPRMは組織が運用を合理化し、リスクを軽減するための正しいステップが取られることを保証します。
3. 報告： TPRMは、組織のリスクプロファイルとパフォーマンスに対する可視性を提供する包括的な報告機能を提供します。カスタマイズ可能なレポートを通じて、経営者や管理者はリスクを迅速に特定し、それを軽減するための情報に基づいた意思決定を行うことができます。
4. 監視と監査： TPRMは、脅威と脆弱性の継続的な監視、およびシステム構成とプロセスの自動監査をサポートします。これにより、組織は安全な環境を維持し、問題が発生する前にリスクに対処するための積極的なアプローチを取ることができます。
5. コンプライアンス： TPRMは、ISO 27001、PCI DSS、HIPAAなどの規制およびコンプライアンス要件を満たすために、自動化された柔軟なコンプライアンス管理機能を提供します。
6. インシデント管理： TPRMは、セキュリティインシデントに対する可視性を提供し、組織が脅威や脆弱性に迅速かつ効率的に対応できるようにします。インシデントの分類、エスカレーション、追跡、解決機能を通じて、TPRMはリスクが迅速かつ専門的に対処されることを保証します。

TPRMポリシーが重要な理由

これらの主要な特徴は、組織が包括的なTPRMプログラムを開発するためのフレームワークを提供します。企業は、サードパーティのパートナーがコンプライアンスを遵守することを保証するために、TPRMポリシーを開発することができます。TPRMポリシーは、あらゆる規模の組織にとって重要であり、潜在的なサイバー脅威に対する重要な防御層を提供します。これらのポリシーは、組織とそのスタッフの責任を明確にする包括的なガイドラインを提供し、システムとデータを保護します。TPRMポリシーを作成し実施することで、組織はサイバー脅威のリスクを効果的に軽減し、機密データを保護することができます。さらに、TPRMポリシーは、適用される法的および規制要件を遵守するための鍵となります。

サードパーティベンダーはどのようにリスクをもたらすのか？

どのITシステムも100%安全ではなく、したがって、どのシステムにもある程度のリスクがあります。これは、組織が外部のパーティを雇って既存のインフラストラクチャにサービスを統合する場合に特に当てはまります。

クライアント組織がベンダーのインフラストラクチャを完全に制御できないため、さまざまなベクトルがシステムに潜在的なリスクをもたらします。これには以下が含まれます：

• サイバーセキュリティ： SolarWinds攻撃に例示されるように、ベンダー提供のITソリューションにおけるスピルオーバーセキュリティ脅威は現実の問題です。クラウドサービスやシステムの侵害は、接続されたサービスに広がり、すべてのクライアントのデータを脅かす可能性があります。侵害は過失やエラーの結果だけではないことに注意が必要です。複雑なクラウドシステムは本質的に脆弱であり、その相互接続性自体がリスクの源です。
• コンプライアンス： サイバーセキュリティに密接に関連して、サードパーティとの関係にはコンプライアンスリスクが存在します。コンプライアンス規制は、クライアント、顧客、またはパートナー情報の管理方法を規定し、データ管理を支援するためにサードパーティを導入することは、非コンプライアンスのリスクをもたらします。FedRAMP、医療保険の相互運用性と説明責任に関する法律（HIPAA）、および一般データ保護規則（GDPR）などのフレームワークや規制には、サードパーティとの関係に関する特定の責任法があります。
• インサイダー脅威： インサイダー脅威はほぼすべての業界で現実の問題です。残念ながら、サードパーティベンダーは、独自の従業員を雇用し審査するため、インサイダー脅威の潜在的なリスクをもたらします。これらのチームからの脅威は、クライアントに大きな影響を与える可能性があります。
• スピアフィッシング： フィッシングは、世界中で最も広まっているセキュリティ攻撃の一つです。ベンダーとの関係は、フィッシング攻撃を軽減するための新たな課題を追加します。なぜなら、ハッカーがシステムに侵入する新たな方法を導入するからです。ベンダーに対するフィッシング攻撃は、システムに脆弱性をもたらし、ハッカーは偽装されたメールアドレスを使用して、組織内の重要な人物をターゲットにしたスピアフィッシング攻撃を行うことができます。
• 評判： 評判の問題は、サードパーティとの関係において現実の問題であり、多少曖昧な部分もあります。ベンダーのインシデントが全体的な運用に影響を与えない場合でも、そのようなベンダーからの悪評は評判に影響を与える可能性があります。ブランドの評判を維持することは、サードパーティリスク管理の重要な部分です。

これらのベンダーがシステムにリスクをもたらす可能性があるため、多くの企業はサードパーティ管理を全体的なポートフォリオに統合しています。そうしないと、直面する脆弱性、リスクがITおよびコンプライアンスの意思決定にどのように影響するか、システムの脆弱性について不正確または歪んだ理解を持つ可能性があります。

サードパーティリスク管理プラットフォームとは？

TPRMは非常に複雑な取り組みであり、組織はサードパーティリスクを正確かつリアルタイムで理解する必要があるため、TPRMプラットフォームとソリューションの波が市場に登場しています。

TPRMプラットフォームは通常、クラウドベースのソリューションであり、複数の評価ツールを単一のパッケージに統合し、自動化、ベンダー評価、ベンダー監視、ワークフローツール、および是正管理を統合します。

ここには多くの要素が含まれているため、これらのコンポーネントを分解することが役立つかもしれません：

• ベンダーリスク評価： TPRMソリューションが組織にもたらす最も重要なサービスの1つは、ベンダー関係における問題の可視性を高めることです。特定のITシステムに接続されたクラウドプラットフォームは、コンプライアンス問題、文書、および相互運用するソフトウェアまたはハードウェアによってもたらされる潜在的な脅威に関する比較分析を実行できます。たとえば、ベンダーがプラットフォームとモバイルアプリケーションまたはメール間のアプリケーションプログラミングインターフェース（API）統合を提供する場合、TPRMソリューションはそのリスクを分析し、アラートと提案を提供することができます。

  さらに、これらのソリューションは、組織全体の管理を調整するための実際の指標とランキングシステムを提供します。企業のリスクプロファイルを俯瞰することで、意思決定者は組織のコンプライアンスまたはセキュリティ戦略に適合するサードパーティリスクに焦点を当てることができます。

  評価ツールは、企業がベンダーリスクランキングを構築するのにも役立ちます。「高リスク」とされるものは文脈に応じて変わるかもしれませんが、ほとんどの企業は、IT構成、コンプライアンス基準、契約レビュー、スタッフおよび従業員の審査手順、ブランドの歴史、職業的な背景調査などの要素を組み合わせて、内部指標に基づいてランキングを作成することができます。

• ベンダーリスク監視： 管理ソリューションには監視ツールが必要です。デジタルプラットフォームを通じてベンダーを監視することを考えるのは直感に反するかもしれませんが、TPRMソフトウェアは、組織が指標と共有リソースを作成および実装し、文書化と報告を要求し、運用パフォーマンスを追跡するのに役立ちます。継続的な監視ツールを通じて、組織は評価およびコンプライアンス要件のためにベンダー管理をより容易に合理化することができます。
• 自動化とワークフロー： ベンダーは構成やソフトウェアを変更することがあります。契約は更新されます。運用とビジネス目標は時間とともに進化します。TPRMソリューションは、これらの変化が発生する際に、ビジネスとそのベンダーの両方が重要な運用を自動化するのに役立ちます。これらの自動化されたプロセスには、契約レビュー、文書の更新、またはシステム構成が変更された際の会議の設定などが含まれることがあります。関係が変化するにつれて、評価がその変化の一部であることを強調することが重要です。ベンダー側のインフラストラクチャや基盤技術のわずかな調整でも、クライアントのリスクプロファイルに大きな影響を与える可能性があります。さらに、契約レビューを毎年自動化することで、監視、監査、必要な報告などの管理手続きを評価することにより、クライアント企業をサポートすることができます。
• 是正措置： ベンダーが侵害を受けた場合、影響を受けたクライアントは迅速な是正措置を講じる準備ができている必要があります。TPRMは、分析を使用してアラートと是正措置をサポートし、セキュリティ問題を隔離し、脅威への露出を最小限に抑え、問題を解決するための次のステップを評価するソリューションを提供します。

これらのすべてのカテゴリーにおいて、組織はTPRMの一部としての組織リスク管理の役割を認識する必要があります。組織に管理計画がない限り、ベンダーリスクを正確に評価する方法はありません。幸いなことに、サプライチェーンリスク管理はサイバーセキュリティとコンプライアンスの主要なトピックです。GDPR、HIPAA、FedRAMPなどのほとんどのフレームワークには、サプライチェーン評価の実施に関するいくつかのコントロールがあります。さらに、米国国立標準技術研究所（NIST）は、サプライチェーン管理における標準とベストプラクティスを具体的に扱った特別出版物800-161を発表しています。

これらのすべてのケースにおいて、規制当局とガイドラインを設定する人々は、ベンダー管理ポリシーを作成する必要性に同意しています。これらのポリシーは、組織がベンダーとベンダー関係の変化を監視するために導入するルールと手順です。このようなポリシーには、契約レビュー、継続的な監視、背景調査、およびベンダー技術またはポリシーの変更に基づく自動監査が含まれることがあります。

さらに、TPRMソリューションには、企業がリスクのあるベンダー関係を特定し回避する方法が含まれているべきです。時には、ベンダーがブランド名や所有権を変更することがあり、過去のセキュリティ、メンテナンス、または公共イメージに関する問題の証拠を隠すことがあります。これらのソリューションは、ベンダーの行動を監視する方法や、ベンダー監査と契約評価のプロセスを自動化する方法を提供するかもしれません。

TPRMの実践と手続きを開発するために、組織はTPRM認証を取得することができます。業界で最も信頼されている認証の1つは、CTPRP Shared Assessments Risk Certificationであり、一般的なリスク評価とサードパーティリスク評価の両方をカバーしています。

TPRMソリューションの購入時の考慮事項

TPRMソリューションを市場で探している企業は、以下の重要な基準を考慮する必要があります：

1. コンプライアンス要件： 組織は、TPRMソリューションがPCI DSS、GDPR、NIST、HIPAAなどの適用されるコンプライアンスおよび規制要件を満たしていることを確認する必要があります。
2. セキュリティ基準： 組織は、国際標準化機構（ISO）やサイバーセキュリティフレームワーク（CSF）によって発行された最新の業界セキュリティ基準とプロトコルに準拠したTPRMソリューションを探すべきです。
3. データプライバシー： 組織は、暗号化、二要素認証、アクセス制御など、データプライバシーとデータ保護機能を強化したTPRMソリューションを探すべきです。
4. 自動化： 自動化機能は、TPRMプロセスを合理化しようとする組織にとって不可欠です。自動化は手作業の労力を削減し、コンプライアンスまでの時間を短縮し、効率を向上させることができます。
5. スケーラビリティ： TPRMソリューションは、組織の変化するニーズをサポートするためにスケーラブルで柔軟であるべきです。組織は、現在および将来の成長に対応できるソリューションを探すべきです。
6. サードパーティパートナー： 組織は、サードパーティパートナーのセキュリティを簡単に管理および監視できるソリューションを探すべきです。
7. コスト： TPRMソリューションはコストが異なるため、組織は必要な機能を提供し、手頃な価格で提供されるソリューションを探すべきです。

リスク管理はサードパーティベンダー関係にとって重要です

サードパーティベンダーは、組織に重大なリスクをもたらす可能性があり、そのリスクを特定、測定、監視するのはサイバーセキュリティおよびコンプライアンスチームの責任です。技術的および管理的な能力に関するデューデリジェンスは、ビジネスを行う上で必要な部分です。幸いなことに、そのような取り組みをサポートするソリューションが存在し、TPRMプラットフォームとリスク管理の実践を戦略的に活用することで、ほとんどの組織は主要なサードパーティの問題を回避することができます。

コンテンツガバナンスとデータ管理がTPRMの取り組みをどのようにサポートできるかについて詳しく知りたい場合は、サードパーティコミュニケーションにおけるサイバーリスクの克服に関するeBookを必ずお読みください。また、Kiteworksプラットフォームに興味がある場合は、Kiteworksチームのメンバーとのデモをスケジュールしてください。

リスク＆コンプライアンス用語集に戻る