昨今、サプライチェーン攻撃の脅威の高まりや経済安全保障推進法の要請により、グループ会社や委託先企業のサプライチェーンリスクに対するセキュリティ統制が求められています(ご参考を参照)。本オプションは、複雑なサプライチェーンネットワークをSecure SketCH上で「組織」として定義することで、組織間の境界を感じさせないシームレスなリスク統制を実現します(特許出願中)。
図1:複雑なサプライチェーンをSecure SketCHで構造的に可視化
■「組織管理オプション」の概要
1.地域や事業セグメント別に「組織」を定義し、グループ会社を統制
複雑になりがちなグループ会社統制を、地域や事業セグメントのような任意の「組織」単位でグループ化し、アセスメントやその結果を組織ごとに可視化することが可能です。例えば、グローバル製造業の地域ごとのグループセキュリティ統制や、総合商社の事業セグメント別のグループ会社統制などで活用できます。
図2:組織ごとの評価結果の画面
2.委託先・サードパーティを統制し、サードパーティリスク管理を実現
委託先統制のリスク所有者(リスクオーナー)である事業部門別に委託先企業の管理・統制を行うことができます。共通の委託先企業を、複数の組織へ紐づけて管理することができるため、委託先企業のアセスメント結果も簡単に共有できます。本オプションを活用することで、金融業の三線防御モデル[i]におけるサードパーティリスク管理(TPRM)[ii]の実現や、「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」[iii]の実践につながります。
3.組織別に権限を管理
組織単位で管理ユーザー(組織メンバー)の設定を行えるため、適切な権限管理を実現できます。組織メンバーは、自組織の企業の評価を閲覧することはできますが、上位の組織や同等レベルの組織の評価は閲覧できません。
図3:組織ごとの管理ユーザーの設定画面
Secure SketCHについては、次のWebサイトをご参照ください。
(リンク »)
本オプションは、Secure SketCHの「GROUPSプラン」の機能として提供されます。詳細な説明資料は、次のWebサイトから入手していただけます。
(リンク »)
NRIセキュアは今後も、Secure SketCHの機能強化・品質維持向上に努め、グローバルな規模で安全・安心な情報システム環境と社会の実現に貢献していきます。
■ご参考
・サプライチェーンのセキュリティ対応における課題
サプライチェーンのセキュリティ統制業務は、DX(デジタルトランスフォーメーション)の進展にともない統制の対象範囲が広がり、継続的な統制が求められる一方で、企業ではセキュリティ人材が慢性的に不足していることもあり、企業規模によらず統制課題が浮き彫りになっています。
図4:サプライチェーンのセキュリティ対応における課題
出所:NRIセキュアテクノロジーズ株式会社「NRI Secure Insight 2023」
ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社 広報担当
E-mail:info@nri-secure.co.jp
このプレスリリースの付帯情報
用語解説
[i] 三線防御モデル:主に金融機関が統制活動とリスク管理に用いる代表的なフレームワークです。組織の体制・機能を三つの線で表し、一線にビジネス部門、二線に統制・管理部門、三線に独立した内部監査部門を位置づけます。モデル自体が時代とともに進化しており、2020年以降は組織の目的や戦略を達成するためにリスクを"管理"するアプローチが強調され、"防御"のみに重点が置かれないように、スリーラインモデルと呼ばれています。
[ii] サードパーティリスク管理(TPRM):企業が外部パートナーやサプライヤーなどのサードパーティによる情報漏洩やセキュリティ侵害などのリスクを評価・管理するプロセスです。サードパーティのリスクを定期的に評価し、適切な対策を講じることで、組織のセキュリティを強化します。
[iii] 金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素:原題「G7 Fundamental Elements for Third Party Cyber Risk Management in the Financial Sector」は、G7のサイバー・エキスパート・グループによって策定された枠組みです。
お問い合わせにつきましては発表元企業までお願いいたします。