ビジネスにはさまざまなリスクを伴うが、最近になって目立つのが取引先にまつわるセキュリティリスクだ。取引先のITシステムがサイバー攻撃の踏み台にされたり、あるいは関係者が不正な行為をしたりするなどしてセキュリティインシデントが起きれば、自社が原因ではなくても信用の失墜や収益の減少、事後対応などの損害を被る。
Dell TechnologiesグループのRSA Securityでリスク管理分野の担当ディレクターを務めるSam O'Brien氏は、「Ponemon Instituteの調査では、年を追うごとにサードパーティー(取引先)が原因となるデータ漏えいの発生件数が増えており、データ漏えいの半数近くを占めるまでになっている」と指摘する。
RSAセキュリティ インテグレーテッドリスクマネジメント ディレクターのSam O'Brien氏
同氏は、「ガバナンス・リスク・コンプライアンス(GRC)」分野の技術やコンサルティングで16年の経験があり、GRCに関してはZDNetのインタビューで解説している。今回は、取引先にまつわるセキュリティリスクについて、同氏に見解を聞いた。
国内では、秋頃から取引先にまつわるセキュリティのニュースが相次いでいる。
例えば、マルウェア「Emotet」の拡散を狙ったサイバー攻撃では、実在する取引先などの企業や担当者になりすましたメールの不正な添付ファイルを相手に開かせ、マルウェアに感染させるケースがある。海外では、Emotetの感染からさらにランサムウェアにも感染し、システムやデータが“人質”にとられて金銭を要求される被害が相次ぐ。国内でも同様の事態に進行する恐れがあるだけに、自社および取引先のセキュリティ強化は緊急性を要するだろう。
また、12月上旬には、地方自治体で使用されたPCのHDDを廃棄委託先の関係者が不正に入手して転売したという事件も発生したばかり。PCやデータの廃棄について契約で適切に行われていたとされたが、実際はずさんな運用状態だったことが指摘されている。
こうした取引先にまつわるリスクは、総称して「サプライチェーンリスク」とも呼ばれる。ここでのリスクには、セキュリティ以外に取引先の経営環境や財務、信用、業務体制、IT、人員など幾多あるが、それらが単体あるいは複合的に、セキュリティのリスクとして顕在化するケースが目立つ。
「セキュリティリスクを顕在化させるサイバー攻撃では、自社とベンダーの信頼関係を逆手にとるフィッシングに古典的なマルウェアの感染手法を組み合わせる手法が増えている。また、GDPR(欧州の一般データ保護規則)の施行を受けてシンガポールやオーストラリアでは、サードパーティーに対するデータセキュリティの強化を求める動きが出ている。こうした複雑な状況が企業でのリスク管理や対応をさらに難しくさせている」
O'Brien氏は、企業を取り巻く状況が変化する中でも、常に自社が取引する相手がどのような企業であり、どのようなビジネスを行っているのか、その関係性にどのようなリスクが存在し、どう顕在化するのか、といった基本を把握、理解、監視し続けていくことが重要だと説く。
「最初に『可視性』を確保する。次に、状況を把握・理解して『洞察』を得る。そして『評価』を続け、改善のための行動を続けていく。当然ながら実際には、次から次に新たな問題が発見され、理想と現実のギャップに苛まされ、解決に多大な努力を費やすことになるだろう。それでもこの基本を実践して対応しなければ、リスクが増大し続け、甚大な損害を被ってしまう」
本質的にリスクは、ゼロにするものではなく、減らしていくことが基本になる。セキュリティのリスクでも、さまざまな対策手法を多層的に組み合わせて、顕在化する可能性を低減させていく。手法は導入するだけでは意味がなく、適切に機能し続けるよう運用してこそといえる。
O'Brien氏によれば、サプライチェーンリスクに対する企業の意識は徐々に高まりつつあるものの、ドキュメントを用意したり、スプレッドシートのチェックリストや定期的な監査で管理したりしているのが実情だという。同氏は、テクノロジーソリューションの観点からサプライチェーンにまつわる専門機関のデータも活用したリスク管理の方策を企業にアドバイスしているが、組織面についても次のように話す。
「オーストラリアでのケースになるが、情報セキュリティと人事、経営管理の責任者が1つのチームになり、採用する人物のリスクに対応しようとする動きも出始めている」
取引先にまつわるセキュリティのリスクは、昨今の相次ぐ事件によって急に生じたわけではなく、現代のビジネスがITによって高度で複雑になったことで顕在化してきた。対応もその場しのぎではなく、O'Brien氏がアドバイスする基本の徹底に尽きるといえる。また、同氏はこうも指摘している。
「今、世界的にデジタルトランスフォーメーション(DX)がブームになっているが、新しいパートナーとビジネスを広げていく中でもリスクは増えていく」。ビジネスをモノにする上でリスクテイクすることもあるが、そのリスクをコントロールしていくことがDXの一助になるだろう。その意味で、取引先にまつわるセキュリティリスクへの対応は、その重要さを知る機会として捉えることもできる。