サードパーティリスク管理の重要性

小規模な4人の会社であろうと、フォーチュン500企業であろうと、サードパーティリスク管理は見過ごしてはならないセキュリティ問題です。

サードパーティリスクとは何ですか？サードパーティリスクは、企業が財務情報などの機密情報にアクセスできる第三者企業と協力を始めるときに発生します。これにより、第三者を通じて情報が露出する潜在的なリスクが生じます。

サードパーティベンダーとは何か、そしてそれがリスク管理にどのように影響を与えるのか？

現代のビジネスおよび企業運営はますます複雑化しており、異なる技術インフラ、クラウド環境、スタッフ、サービス、業界にまたがっています。データ駆動型のビジネスの多くは、特定のビジネス機能をパートナーに委託することで、自社の運営を効率化し、物流能力を向上させ、コア製品やサービスに集中できることを発見しています。

拡大する請負業者およびサードパーティベンダー市場は、企業に追加の規模とリソースを提供します。マネージドサービスプロバイダーは、サイバーセキュリティ、クラウドコンピューティング、決済処理などの業界で、企業が自社の運営のすべての側面を内部で管理することなく、提供を拡大することを可能にします。

サードパーティ管理の課題

しかし、サードパーティベンダーと協力することは、ある程度のリスクを伴います。これには、一定のデューデリジェンス、信頼、リスク管理が求められます。

ここに問題があります。ますます専門的でニッチな能力を持つベンダーを数十社管理することは非常に困難であり、企業はこれらのベンダーをリスクプロファイルに組み込む必要があります。複数のベンダー機能と内部ビジネス能力の相互作用は、ビジネスを複数の焦点領域で不安定にする可能性のあるリスクや脆弱性を引き起こす可能性があります。

そのため、多くの企業は、ベンダーとより良く、より安全に協力するために、サードパーティリスク管理（TPRM）を採用しています。

ベンダーリスク管理の成熟度レベル

ベンダーリスク管理の成熟度レベルは、アウトソーシングサービスやベンダーに関連するリスクを管理する能力を測定する方法です。目的は、ベンダーリスク管理プロセスと手順における組織の成熟度を評価し、改善と効率向上のための領域を特定することです。

これには、ベンダーのオンボーディングや監視から、セキュリティやプライバシーを含む問題の処理までのプロセスが含まれます。組織がベンダーとの関係を適切かつ効率的に管理し、これらの関係に関連する潜在的なリスクから組織を保護するための重要なステップです。

サードパーティがビジネスに与えるリスクとは？

ベンダーリスク管理は、複数の影響領域にわたって脆弱性やビジネスへの悪影響の可能性が常に存在するため、困難です。

これらの影響領域には以下が含まれます：

• サイバーセキュリティリスク：サードパーティベンダーからのリスクの最も一般的な形態は、情報セキュリティに関するものです。サードパーティベンダーは、サプライチェーン攻撃や脆弱性に対して脆弱であり、それが協力する組織に影響を与える可能性があります。ベンダーとクライアントの統合レベルに応じて、ハッキングはベンダーソフトウェアに持続的標的型攻撃を仕掛け、クライアントシステムに容易に侵入することができます。

• コンプライアンスリスク：コンプライアンスはそれ自体で難しいものです。ベンダー技術の複雑さを加えると、コンプライアンスはさらに困難になります。例えば、HIPAAコンプライアンスは、患者データを扱うベンダーが規制を遵守する必要があります。これを怠ると、そのベンダーと協力する企業に重大な影響を及ぼします。

• 運用リスク：ベンダーを雇用し協力することは、ベンダーが提供を約束したサービスを提供できるという信頼に基づいて行われます。ベンダーがタスクを遂行できない場合、クライアント企業に大きな影響を与える可能性があります。クレジットカード取引の高ボリュームを処理できない決済プロセッサは、企業の成長を制限する可能性があります。同様に、クラウドアプリケーションの問題は、オフィス全体が数時間働けなくなることを引き起こす可能性があります。

• 評判リスク：企業はベンダーの行動を制御することはできません。重大な侵害、技術的問題、悪いビジネス慣行、または悪いメッセージングは、ベンダーに悪影響を与え、それがベンダーのすべての従業員に悪影響を及ぼします。さらに、サードパーティベンダーの侵害は、企業の評判に影響を与え、顧客がビジネスを安全でないまたは信頼できないと見なすことを促す可能性があります。

これに対応して、サードパーティリスク管理はこれらの潜在的な領域全体でリスクに対処します。

医療セクターにおけるサードパーティリスクの理解と軽減

医療セクターにおけるサードパーティリスクを理解し軽減する主な方法は、HIPAAに関連して、病院、診療所、医師のオフィスなどの対象エンティティにサービスを提供するすべてのベンダーがHIPAAセキュリティルールを遵守することを確認することです。これには、サードパーティベンダーと協力する際に慎重なデューデリジェンスを行い、協力する前に徹底的なセキュリティリスク分析を実施することが求められます。

組織はまた、すべてのサードパーティベンダーがHIPAAセキュリティルールの要件を遵守することを確認するために、ビジネスアソシエイト契約（BAA）に署名し、その責任を詳細に記載し、従うべき明確なプライバシーとセキュリティ基準を提供する必要があります。BAAには、組織のセキュリティ対策を記載し、これらの対策の変更を文書化する必要があります。BAAは、規制や技術の変化に対応するために定期的に更新されるべきです。

組織はまた、サードパーティベンダーの定期的なセキュリティレビューを実施し、HIPAAセキュリティルールの要件を引き続き遵守していることを確認する必要があります。これには、データセキュリティとプライバシーポリシーおよび手順、システムアクセス、その他のセキュリティ保護策の定期的なレビューが含まれます。

サードパーティリスク管理フレームワークとは？

多くの潜在的なリスク領域があるため、サードパーティベンダーと協力する組織は、これらの異なる領域全体で問題に対処することが最善です。管理への包括的なアプローチを促進するために、TPRMフレームワークと呼ばれるものを開発することが重要です。

TPRMフレームワークは、企業がサードパーティベンダーとの関係に関する包括的な管理努力を開発するのを支援します。これは、サードパーティ管理ライフサイクルと呼ばれるものを通じて行われます。

このライフサイクルには、以下のような段階が含まれます：

1. プロファイリングとリスクティアリング：この段階では、企業はサードパーティの課題を特定し、TPRMプロファイルを作成し、コンプライアンス、セキュリティ、ビジネス運営に関連する基準に基づいて異なるリスクレベルのランキングを作成します。この段階では、組織は関係のためのビジネス要件を策定し、関連する利害関係者を特定し、ベンダーリスク管理を担当する者を決定します。

2. 選定：この段階では、企業は両組織の専門家と協力し、これらのインタビューに基づいてリスクを評価し、コントロールと評価を開発し、適切なベンダーを最終選定します。この段階では、組織はセキュリティコントロールを実施し、内部の専門家を配置してベンダー関係を構築することを目指します。ITマネージャーや最高情報セキュリティ責任者がこの段階およびベンダー管理プロセス全体で重要な役割を果たします。

3. オンボーディング：この段階では、企業は契約を交渉し、適切なオンボーディングのためのレビューを行います。この段階では、企業が徹底的なTPRMフレームワークを実施する際に、選定およびオンボーディング段階で収集した情報と知見を使用して、ベンダー契約にリスク管理と軽減要件を組み込みます。 

4. 継続的な監視：この継続的な段階では、企業はベンダー、そのパフォーマンス、技術インフラ、およびベンダーとクライアントの関係を監視します。この段階では、契約はしばしば、要因やパフォーマンスに基づいて再交渉されることがあります。

このプロセス中、クライアント企業はセキュリティ、評判、運営、コンプライアンスにわたる潜在的なリスクについてベンダーを継続的に評価します。

NISTサードパーティリスク管理フレームワーク（RMF）800-37改訂2

NISTリスク管理フレームワーク（RMF）800-37改訂2は、組織が効果的なリスク管理プログラムを実施するためのガイダンスを提供します。このフレームワークは、組織が情報システムを保護するためにセキュリティコントロールを計画、実施、評価、監視するための標準を確立します。セキュリティコントロールを実施するための6ステッププロセスを概説しており、分類、選定、実施、評価、認可、継続的な監視が含まれます。さらに、フレームワークはセキュリティコントロールプロセスに関与する各当事者の役割と責任を概説し、リスクに基づく意思決定の重要性を強調しています。

マネージドTPRMサービスプラットフォームとは？

TPRMフレームワークの実施が非常に困難であるため、多くの企業はTPRMサービスプロバイダーやプラットフォームを活用してサードパーティリスクを管理しています。

専門の管理ベンダーは、ビジネスのためにTPRMに専念することができます。これらのプロバイダーやプラットフォームには、いくつかの重要な機能が含まれているべきです：

• 契約ライフサイクル管理のサポート：TPRMでは、契約は一度きりのイベントではありません。企業は、パフォーマンスとセキュリティを考慮して契約を継続的に見直し、リスク評価と再交渉を契約に組み込む必要があります。

• リスク評価ワークフローの管理：これらのプロバイダーは、評価、監査、およびベンダー活動に関連するイベントに関する重要なワークフローを効率化する準備ができているべきです。

• リスクプロファイルの管理：優れたTPRMプロバイダーまたはプラットフォームは、顧客がベンダーごとにプロファイルを構築、作成、レビューする能力を提供するべきです。

• 継続的な監視と評価：監視はTPRMの重要な部分であり、プロバイダーまたはプラットフォームは、コンプライアンス、評判、または運用上の問題についてベンダーを監視するための重要なツールを提供するべきです。この時点で、プロバイダーはクライアント企業と協力してベンダーの評価を実施することができるべきです。これらの評価には、継続的な報告と会議が含まれるべきです。

• 自動化：直感的ではないように思えるかもしれませんが、TPRMの多くの側面はSoftware-as-a-Service（SaaS）システムで自動化できます。評価、イベントトリガー、契約評価はそれぞれ、クラウドシステム内のメトリクスにマッピングされ、TPRMを効率化します。

サードパーティまたはベンダーリスク管理チェックリスト

サードパーティリスク管理チェックリストは、組織がサードパーティリスクを特定し管理するのを支援します。これは、サードパーティプロバイダーと契約を結ぶ際に組織が考慮すべきリスクの包括的なリストを提供します。

1. ベンダーのコンプライアンス方針と手順を確認する：すべてのベンダーのコンプライアンス方針と手順を調査し、組織の基準を満たしていることを確認し、コンプライアンスを監視するプロセスを理解します。
2. 監査プログラムを確立する：ベンダーリスクとパフォーマンスを評価するための正式な監査プログラムを開発し、レビューの頻度と評価のメトリクスを含めます。
3. 財務状況を評価する：ベンダーの財務状況を評価し、サービス終了の財務的影響を考慮します。
4. デューデリジェンスを実施する：ベンダーの背景、能力、サービスの実績を理解し、組織に適しているかどうかを評価します。
5. 代替ソリューションを検討する：代替ベンダーを使用するコストと利益を分析します。
6. 評価基準を開発する：ベンダーの選定とパフォーマンス評価の基準を確立します。
7. セキュリティ対策を評価する：データの機密性と整合性を保護するためにベンダーが講じたセキュリティ対策を評価します。
8. パフォーマンスを定期的に監視する：ベンダーのパフォーマンスを継続的に監視し、合意されたサービスレベルを満たしていることを確認します。
9. 契約を見直す：すべての契約とサービスレベル契約を徹底的に見直し、条件が適切で執行可能であることを確認します。
10. 緊急計画を策定する：ベンダーが義務を果たせない場合に対応する計画を作成します。
11. リスク管理を文書化する：ベンダーの定期的な評価を含む、すべてのリスク管理プロセスと行動を文書化します。

サードパーティリスクを軽視しないでください

多くの業界でますます複雑化するベンダー関係において、リスク管理は重要です。この種の管理は三次的な優先事項ではありません。しかし、特にコンプライアンス、セキュリティ、評判が関与する場合には、最優先事項になる必要があります。サードパーティ管理とTPRMフレームワークは、企業が現代のビジネス経済において応答性、柔軟性、スケーラビリティを維持するのに役立ちます。

機密コンテンツがサードパーティとどのように共有されるかは、重要なガバナンス、コンプライアンス、セキュリティの影響を持ちます。Kiteworksが組織内、組織への、組織からの機密コンテンツの移動を統合、追跡、制御、保護する方法を、カスタムデモをスケジュールして学んでください。

 

リスクとコンプライアンス用語集に戻る