製品概要
サイバーセキュリティリスク観点でのサードパーティ評価・管理が必要とされる背景
企業活動のグローバル化や業務のアウトソーシング、システムの連携が進み、サプライチェーンが拡大・複雑化しています。外部委託先・システム連携先・協業先といった「サードパーティ」のセキュリティ対策不足が自社のリスクになる可能性も想定し、サイバーセキュリティリスクの観点でサードパーティを管理・評価(サイバーセキュリティ・デューデリジェンス)することで自社のサイバー攻撃への耐性を高めることが重要になっています。
サードパーティ・サイバーセキュリティ・デューデリジェンスサービスは、これまで買収対象の企業に対して実施されることが多かったサイバーセキュリティ・デューデリジェンスを、既存・新規の外部委託先等のサードパーティに対して実施します。そのうえで、自社を取り巻くサードパーティにおけるサイバー攻撃への耐性強化を目的としたセキュリティ対策の実施を支援します。
特徴
■お客様に選ばれる理由
1.膨大なサードパーティの中から評価・管理が必要な対象を選定
セキュリティ耐性強化のためには、外部委託先だけでなくシステムの連携先等もサードパーティのリスク管理対象として含める必要があります。定期対応の支援を行う際は、膨大な数のサードパーティの中からサイバーセキュリティ・デューデリジェンスを行う対象の選定にかかる基準の策定などを支援します。
2.目的に沿った評価方法を選択・提案
サイバーセキュリティ・デューデリジェンスを行う目的に応じて、アンケート形式でのヒアリング、サイバー攻撃に対する防衛力の判定や格付けを行う「OSINT(Open Source Intelligence)」や「セキュリティスコアレーティング」を用いた調査方法や評価方法等から、最適な方法を提案します。また、リスク評価実施の際には、NRIセキュアのセキュリティコンサルタントが導入企業の評価チームの一員となり、サードパーティとの契約締結開始・継続時にリスク評価を実施することもできます。
3.サードパーティ管理における相談窓口を常設
リスク評価・管理を一度行った後も、相談窓口を常設することで、サードパーティ管理における改善活動の中で浮上した課題に対し、対策のアドバイザリ等を継続して実施することができます。※継続的なサイバーセキュリティ・デューデリジェンスを行わない場合にも、サービス提供は可能です。
表 サードパーティ・サイバーセキュリティ・デューデリジェンスサービスの支援範囲
■サービスの流れ
【STEP1 重要なサードパーティの特定】
サードパーティの一覧を作成したうえで、重要なサードパーティを特定
【STEP2 サイバー観点でのセキュリティリスク評価】
・評価軸の整理
・サードパーティへのサイバーセキュリティリスク評価(アンケートの回答結果に対するヒアリングを実施、OSINTやセキュリティスコアレーティングを活用)
・契約の締結、継続の判断
【STEP3 契約への反映】
契約へサイバーリスク管理観点の盛り込み
【STEP4 継続的なモニタリング】
・サードパーティ一覧の見直し
・サイバーリスクの再評価
■料金
個別見積もりとなります。
詳細については、以下よりお気軽にお問い合わせください。
■よくある質問
Q.支援期間はどのくらいですか?
A.サービスの規模や支援内容にもよりますが、標準で2~3か月程度です。
ご支援内容とお客様の希望に応じて、適切な支援期間をご提案します。