昨今のビジネスは、複数の企業と提携することにより成り立っているケースが多いと思います。このような組織と組織のつながり、いわゆるサプライチェーンに目を付けたサイバー攻撃が増加しており、これにより引き起こされた個人情報等の漏えいや業務自体の停止などにより経営が立ち行かなくなるといった甚大な被害も発生しています。
自社がしっかりとセキュリティ対策をしていても、サプライチェーンの中にセキュリティの弱い組織が存在すると、そこを起点としてサイバー攻撃を受けてしまう恐れがあります。
このようなサプライチェーン攻撃について、皆さんの会社は対策を実施していますか。
本ブログでは、サプライチェーンに対するセキュリティ管理の必要性と概要、想定される課題について解説します。
サードパーティ管理の必要性
“サプライチェーンや委託先を狙った攻撃”は、情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威 組織編」において、2019年より7年連続で上位にランクインしており、現代のIT社会における重大な脅威の1つと認知されています。
このようなサプライチェーンに対する脅威を踏まえ、各種セキュリティやリスク管理のガイドライン等においても、サードパーティ管理に関する方針が追加される等、サードパーティに対するセキュリティ管理の注目度は高まっています。
情報セキュリティ10大脅威 2025
出典:https://www.ipa.go.jp/security/10threats/10threats2025.html
世間のセキュリティに対する関心も高まり、各組織におけるセキュリティ投資は年々増加傾向にあります。一方で、サプライチェーンを考慮したセキュリティ施策を整備している企業はまだ少ない状況です。
IT関連予算に占めるセキュリティ関連予算の割合
サプライチェーンへの統制状況
出典:NRIセキュアテクノロジーズ株式会社「NRI Secure Insight 2024」
委託先等のサードパーティは、あくまで他社であることからも、セキュリティ統制が行き届きにくいといった性質を持っています。ただし、これらのサードパーティがサイバー攻撃を受けてしまうことにより、委託元としても業務停止に追い込まれる等、大きな被害を受ける恐れは十分にあります。このような被害を抑えるためにも、自社組織だけを想定した管理ではなく、サプライチェーン全体を考慮した管理方法についても検討する必要があります。
サードパーティ管理の流れ
サードパーティに対するセキュリティ管理の大まかな流れを以下に整理します。
サードパーティの特定
ビジネスに関係するサードパーティを洗い出してリスト化します。
管理すべきサードパーティの対象としては、業務委託先だけではなく、利用しているクラウドサービス提供元や業務で利用する製品の調達先なども含める必要があるため、洗い出しの際には留意してください。
サードパーティの対象
セキュリティの評価
評価基準を策定し、特定したサードパーティの評価を実行します。
セキュリティ対策の現状評価をするにあたり、自社でサードパーティに求める要件を整理する必要があります。サードパーティに対して必要な要件については、各種ガイドライン等で示されている指針が参考になるかと思います。
その上で、自社内で運用されているセキュリティ要件や業界で求められるセキュリティ要件等を基に、サードパーティへ対する評価項目を検討するとよいでしょう。業界ごとにガイドラインが発行されているケースもありますが、NIST Cyber Security Frameworkのように、業界に限らず参考となるガイドラインもあります。
関連するガイドライン例
セキュリティリスクへの対応
セキュリティ評価結果をもとに、必要な改善を推進していきます。
判明したリスクに対しては、対応方針を整理した上で、適宜改善活動を行っていくことになります。自社ではなく第三者への改善要望となることもあり、サードパーティ管理の観点からは、技術的なセキュリティ対策だけではなく、契約の見直しといった観点も含めて検討が必要となるケースもあります。契約の見直しとしては、例えば、有事の際に迅速な報告を要求するよう、契約書の文面に盛り込む等が考えられます。
継続的なモニタリング
定期的にサードパーティの棚卸やセキュリティ評価を実施します。
自社の外部/内部環境の変化に合わせて、リスクも変化します。適切にリスクを把握するためには、サードパーティに対しても、継続的にリスク管理するための体制を整えることが重要です。“自社を取り巻く環境の変化”に合わせることを考慮した際、ひと月の間に大きく変わることは少ないと想定されます。組織の変化タイミングを鑑みて、目安としては年1回の見直しを検討いただくと良いでしょう。また、あくまでも目安となりますので、環境に大きな変化が起きた際は、適宜見直しを行うことも併せてご検討ください。
サプライチェーン攻撃による被害を受けた企業の中には、委託先評価の仕組みを構築していたものの、仕組みが形骸化していたことにより、適切なリスク管理ができずに被害を受けてしまったケースもあります。リスクの洗い出しを一度で終わりにせず、適切にリスクを把握するためにも継続的な管理を考慮する必要があります。
サードパーティ管理の取り組みに係る課題
サプライチェーンを考慮したセキュリティ管理については、現在は複数の団体から関連する指針が公表され、実際に管理を進めている企業も増えてきていますが、推進する際の課題も顕在化してきています。
管理対象とする範囲の選定が難しい
サプライチェーン全体を考慮すべきではあるものの、会社規模や業務種別によっては、関係する会社数が膨大となり、すべてのサードパーティを同等に管理することは現実的でないケースも考えられます。
このような場合には、委託している業務内容や、取り扱う情報のレベルに応じて評価方法や項目をカスタマイズする方法もあります。例えば、より有事の際の被害が大きいと想定されるサードパーティに対しては、立ち入り検査やヒアリングによる評価を行い、それ以外のサードパーティに対しては、書面でのアンケート回答とする、等が挙げられます。
このように運用方法を最適化することで、より高いリスクにはしっかりと焦点を当てて管理が可能となるため、現実的に有事の際の被害を最小限に抑えることが期待できます。
サードパーティのセキュリティ対策状況を把握することが難しい
多くの企業では、多種多様なサードパーティが存在しており、セキュリティ対策レベルはもちろんですが、セキュリティへの理解度も統一されていないことが想定されます。
この場合、各サードパーティにおける対策状況を把握するにあたり、同じチェック項目を単純にヒアリングしただけでは、各サードパーティの回答粒度が違ってしまうことが想定されます。それぞれのセキュリティへの理解度を加味した上で現状をヒアリングする必要があり、時間や労力を要してしまうことも考えられます。特に、サードパーティはあくまで外部の存在であることから、強制することは難しく協力を仰ぐ形になります。場合によっては、管理方針に賛同いただけない等も考慮した対策を検討しておく必要もあります。
サードパーティに求めるべきセキュリティのレベル感が分からない
求めるべきセキュリティレベルは、各社の事業や業界、方針や戦略によって変わるものです。まずは、事業内容や関連する業界のガイドラインの内容を参考にベースを整え、徐々に自社として必要なレベル感を調整していく形が良いと考えます。もし、関連するガイドラインが不明瞭である場合には、広く参照されているガイドライン情報から評価要件を取り入れてみる形も一手かと思います。
また、昨今ではセキュリティ評価に活用可能なサービスも増えていますので、セキュリティ評価項目の整理が難しい際には、このような外部サービスの活用も検討してみてはいかがでしょうか。
まとめ
昨今の情勢より、サプライチェーンに対するサードパーティ管理の必要性が高まっている一方で、管理における課題感も顕在化してきています。関係するサードパーティが多いほど、管理態勢を整えるには体力が必要となり、着手するハードルが高いと考える方も多いのではないでしょうか。
もちろん、各社で判断しなければならない観点も多々ありますが、外部のリソースを有効活用することもご検討ください。ユービーセキュアでは、リスク管理のプロセス整備から、各社で必要となる評価項目の整理についてもご支援することが可能です。また、各種ガイドラインに基づいてセキュリティ対策の評価支援も行っていますので、何かお困りの際には、ぜひお気軽にご相談ください。
