多くの企業がランサムウェア等を起因としたサプライチェーン攻撃の標的とされる中、「経済安全保障推進法」[i]「サイバーセキュリティ経営ガイドライン Ver3.0」[ii]「NIST Cybersecurity Framework 2.0」[iii]等の主要なセキュリティ指針では、サプライチェーンに対するセキュリティ統制が強調されています。そのような背景から、企業にとって、TPRM(サードパーティリスクマネジメント)[iv]の立上げ・見直しが急務になっています。一方で、多数の委託先を抱えている企業も多くあり、セキュリティ人材不足と相まって、委託先管理は情報セキュリティ担当者の大きな悩みの種となっています。
◆委託先管理に特化したプラン「3rd PARTY」の特長
Secure SketCHは、Web上で設問に回答することで、自社等の情報セキュリティ対策状況を診断・可視化し、必要なセキュリティ対策の把握と推進に役立てることができるサービスです。これまでSINGLE(1社の評価・分析を想定)やGROUPS(グループ会社の統制を想定)[v]といったプランを提供しており、委託先管理は既存のプランの中でも可能でしたが、委託先管理に特化した3rd PARTYを追加したことで、各社の課題感に合わせたプランを選択できるようになりました。
表:Secure SketCHの提供プラン
なお、3rd PARTYの各種別は、GROUPSにおいてオプション提供している「組織管理オプション」[vi]を標準提供しています。委託元部門・委託業務・委託先・再委託先といった任意の「組織」単位でグループ化し、アセスメント結果を組織ごとに可視化することができます。
3rd PARTYでは、委託先企業への依存度やリスクレベル等に応じて、利用する種別を選択可能です。
1.SecurityScorecardによる自動診断を手軽に利用できる「3rd PARTY MONITOR」
委託先のセキュリティ管理プロセスには、契約の前に行う「委託先選定時のセキュリティチェック」と契約の後に行う「定期的なセキュリティ状況のモニタリング」があります。その双方を実現する「3rd PARTY MONITOR」では、SecurityScorecard[vii]の機能のうち、委託先管理に欠かせない機能(自動診断 Lite)のみを提供することで、自動診断による評価を委託先管理プロセスに取り入れやすくしました。委託先企業のドメインに紐づくIPアドレス・Webサイト・DNSサーバなどの情報を収集し、セキュリティ対策状況を自動的にかつ継続的に診断することができます。
2.アンケート機能でより深い評価・管理が可能な「3rd PARTY ASSESS」
3rd PARTY MONITORの提供機能に、アンケート機能が追加されたものです。外部システムの評価だけではカバーできない、組織的・人的な対策範囲についても評価することで、より多面的な管理・可視化を実現します。
3.委託先企業のセキュリティ改善活動を支援する「3rd PARTY COWORK」
3rd PARTY ASSESSの提供機能に加え、自動診断やアンケート機能による自己評価結果に基づき、委託先企業のセキュリティレベルの改善が必要となった場合に、改善活動や円滑なコミュニケーションを支援する機能を提供します。
図:3rd PARTYの提供機能
◆3rd PARTYのオプション
1.評価対象企業の登録件数が無制限の「∞(MUGEN)」オプション
3rd PARTY MONITOR、3rd PARTY ASSESSにおいて、多数の委託先の評価・管理や、評価対象が不確定な契約前のセキュリティチェック等で利用できる「∞(MUGEN)」オプションを提供します。コストを考慮して、委託先管理ツールを活用できなかったケースでも、このオプションを利用することで、委託先評価・管理を効率的・効果的に行うことが可能です。
2.3rd PARTYの導入支援オプション
企業が長年にわたって整備・運用してきた委託先管理をSecure SketCH上にシフトしていくためには、既存業務フローの見直し、新しい業務プロセスを採用するなど、様々な検討事項があります。委託先管理に3rd PARTYの導入を検討される企業に対しては、導入支援サービスをオプションで提供することも可能です。
本サービスの詳細については、次のWebサイトをご参照ください。
(リンク »)
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
◆ご参考
・3rd PARTY提供開始 キャンペーン
2024年10月末までに3rd PARTYをご契約いただいたお客様先着10社に、以下の特典を提供します。
3rd PARTYを初年度10%割引で提供します。
大量の委託先管理にあたり、重要委託先を定義・分類して委託先統制の方針策定を支援するワークシートを提供します。
キャンペーンについては、次のフォームよりお問い合わせください。
(リンク »)
用語解説
[i] 経済安全保障推進法:国際情勢の複雑化、社会経済構造の変化等に伴い、経済施策を一体的に講ずることによる安全保障の確保の推進に関する基本方針を策定するとともに、安全保障の確保に関する経済施策として、(1)重要物資の安定的な供給の確保、(2)基幹インフラ役務の安定的な提供の確保、(3)先端的な重要技術の開発支援、(4)特許出願の非公開に関する4つの制度を創設することを目的として、2022年5月に成立した法律です。
[ii] サイバーセキュリティ経営ガイドライン Ver3.0:ITに関するシステムやサービス等を供給する企業および、経営戦略上 ITの利活用が不可欠である企業の経営者を対象として、サイバー攻撃から企業を守る目的で、経済産業省と情報処理推進機構(IPA)によって、2015年に公開されたガイドラインです。2023年に改訂されたVer3.0の詳細は、次の解説ブログをご参照ください。
(リンク »)
[iii] NIST Cybersecurity Framework 2.0:米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が2024年2月26日に公開したサイバーセキュリティのフレームワークです。内容の詳細は次の用語解説をご参照ください。
(リンク »)
[iv] TPRM(サードパーティリスクマネジメント):取引や協力関係にある外部の委託先(サードパーティ)に対して、自社と同じようにリスクを特定・評価し対応・管理するプロセスを指します。
[v] 各プランの詳細については、次の資料をダウンロードしてご参照ください。
SINGLE: (リンク »)
GROUPS: (リンク »)
[vi] 組織管理機能:詳細は、次のニュースリリースをご参照ください。 (リンク »)
[vii] SecurityScorecard:サイバーセキュリティ分野で格付けサービスを行う米国SecurityScorecard, Inc.が提供するセキュリティスコア自動算出サービス。攻撃者の視点で対象のシステムを自動的に分析し、全10項目、5段階でスコアを算出します。Secure SketCHの有償オプションとして提供しています。
お問い合わせにつきましては発表元企業までお願いいたします。