編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら

顕在化する取引先のセキュリティリスク、どう対応し生かすべきか

ZDNet Japan Staff

2019-12-16 06:00

 ビジネスにはさまざまなリスクを伴うが、最近になって目立つのが取引先にまつわるセキュリティリスクだ。取引先のITシステムがサイバー攻撃の踏み台にされたり、あるいは関係者が不正な行為をしたりするなどしてセキュリティインシデントが起きれば、自社が原因ではなくても信用の失墜や収益の減少、事後対応などの損害を被る。

 Dell TechnologiesグループのRSA Securityでリスク管理分野の担当ディレクターを務めるSam O'Brien氏は、「Ponemon Instituteの調査では、年を追うごとにサードパーティー(取引先)が原因となるデータ漏えいの発生件数が増えており、データ漏えいの半数近くを占めるまでになっている」と指摘する。

RSAセキュリティ インテグレーテッドリスクマネジメント ディレクターのSam O'Brien氏
RSAセキュリティ インテグレーテッドリスクマネジメント ディレクターのSam O'Brien氏

 同氏は、「ガバナンス・リスク・コンプライアンス(GRC)」分野の技術やコンサルティングで16年の経験があり、GRCに関してはZDNetのインタビューで解説している。今回は、取引先にまつわるセキュリティリスクについて、同氏に見解を聞いた。

 国内では、秋頃から取引先にまつわるセキュリティのニュースが相次いでいる。

 例えば、マルウェア「Emotet」の拡散を狙ったサイバー攻撃では、実在する取引先などの企業や担当者になりすましたメールの不正な添付ファイルを相手に開かせ、マルウェアに感染させるケースがある。海外では、Emotetの感染からさらにランサムウェアにも感染し、システムやデータが“人質”にとられて金銭を要求される被害が相次ぐ。国内でも同様の事態に進行する恐れがあるだけに、自社および取引先のセキュリティ強化は緊急性を要するだろう。

 また、12月上旬には、地方自治体で使用されたPCのHDDを廃棄委託先の関係者が不正に入手して転売したという事件も発生したばかり。PCやデータの廃棄について契約で適切に行われていたとされたが、実際はずさんな運用状態だったことが指摘されている。

 こうした取引先にまつわるリスクは、総称して「サプライチェーンリスク」とも呼ばれる。ここでのリスクには、セキュリティ以外に取引先の経営環境や財務、信用、業務体制、IT、人員など幾多あるが、それらが単体あるいは複合的に、セキュリティのリスクとして顕在化するケースが目立つ。

 「セキュリティリスクを顕在化させるサイバー攻撃では、自社とベンダーの信頼関係を逆手にとるフィッシングに古典的なマルウェアの感染手法を組み合わせる手法が増えている。また、GDPR(欧州の一般データ保護規則)の施行を受けてシンガポールやオーストラリアでは、サードパーティーに対するデータセキュリティの強化を求める動きが出ている。こうした複雑な状況が企業でのリスク管理や対応をさらに難しくさせている」

 O'Brien氏は、企業を取り巻く状況が変化する中でも、常に自社が取引する相手がどのような企業であり、どのようなビジネスを行っているのか、その関係性にどのようなリスクが存在し、どう顕在化するのか、といった基本を把握、理解、監視し続けていくことが重要だと説く。

 「最初に『可視性』を確保する。次に、状況を把握・理解して『洞察』を得る。そして『評価』を続け、改善のための行動を続けていく。当然ながら実際には、次から次に新たな問題が発見され、理想と現実のギャップに苛まされ、解決に多大な努力を費やすことになるだろう。それでもこの基本を実践して対応しなければ、リスクが増大し続け、甚大な損害を被ってしまう」

 本質的にリスクは、ゼロにするものではなく、減らしていくことが基本になる。セキュリティのリスクでも、さまざまな対策手法を多層的に組み合わせて、顕在化する可能性を低減させていく。手法は導入するだけでは意味がなく、適切に機能し続けるよう運用してこそといえる。

 O'Brien氏によれば、サプライチェーンリスクに対する企業の意識は徐々に高まりつつあるものの、ドキュメントを用意したり、スプレッドシートのチェックリストや定期的な監査で管理したりしているのが実情だという。同氏は、テクノロジーソリューションの観点からサプライチェーンにまつわる専門機関のデータも活用したリスク管理の方策を企業にアドバイスしているが、組織面についても次のように話す。

 「オーストラリアでのケースになるが、情報セキュリティと人事、経営管理の責任者が1つのチームになり、採用する人物のリスクに対応しようとする動きも出始めている」

 取引先にまつわるセキュリティのリスクは、昨今の相次ぐ事件によって急に生じたわけではなく、現代のビジネスがITによって高度で複雑になったことで顕在化してきた。対応もその場しのぎではなく、O'Brien氏がアドバイスする基本の徹底に尽きるといえる。また、同氏はこうも指摘している。

 「今、世界的にデジタルトランスフォーメーション(DX)がブームになっているが、新しいパートナーとビジネスを広げていく中でもリスクは増えていく」。ビジネスをモノにする上でリスクテイクすることもあるが、そのリスクをコントロールしていくことがDXの一助になるだろう。その意味で、取引先にまつわるセキュリティリスクへの対応は、その重要さを知る機会として捉えることもできる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    ファイルサーバ管理のコツはここにあり!「無法状態」から脱出するプロセスを徹底解説

  2. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  3. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  4. ビジネスアプリケーション

    デメリットも把握しなければテレワークは失敗に?─LIXIL等に学ぶ導入ステップや運用のコツ

  5. 運用管理

    ニューノーマルな働き方を支えるセキュリティ-曖昧になる境界に変わらなくてはならないデータセンター運用

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]