【Web特別版】第三者によるサイバーリスクに対する防衛を強化する
ブラッド・ヒッバート[*]
ダラー・ツリー(1ドルショップチェーン)、バンク・オブ・アメリカ、コムキャスト(ケーブルテレビ会社)、コロニアル・パイプライン(石油パイプライン大手)に共通するものは何だろうか。残念なことに、この4社はいずれも注目を集める第三者によるデータ漏洩を経験しており、同様の被害を受けた大規模かつ増え続ける企業のリストに加わっていることである。
第三者によるデータ漏洩は、悪意のある行為者が供給業者、サプライヤー、請負業者、その他の組織に侵害し、被害者の顧客、クライアント、パートナーの機密情報やシステムにアクセスすることで発生する。このような情報漏えいは、直接的なコストと、機密情報が漏洩した後の風評被害の両方において、企業に多大な損失をもたらす可能性がある。
ガートナー社(スタンフォードに本拠を置くITアドバイザリ企業)によると、第三者サイバーセキュリティリスクマネジメント(TPCRM)への投資が増加しているにもかかわらず、過去2年間に第三者関連の業務中断を経験した企業は45%に上った。第三者リスクマネジメントソフトウェア会社プリヴァレント社の調査によると、さまざまな業種の企業の41%がこのような侵害を経験しており、71%が重大な懸念事項と考えている。
過去1年間の第三者によるサイバーインシデントの傾向から、2024年以降、以下のようなタイプのリスクが増えると予想される。
- ソフトウェアやサービスの障害とサプライチェーンの侵害
- 特権およびアカウントベースの攻撃
- マルウェアの感染・拡大
- 不正使用・不正アクセス
- サービス妨害攻撃
- 第3レベルおよび第4レベルのパートナーおよび供給業者における侵害およびインシデント
しかし、パートナーや供給業者の組織を標的にした侵害であっても、企業はこうした侵害に対して無防備ではない。第三者のサイバーリスクに対して最善の対処をするためには、その特異な性質を理解し、企業が防御を強化するためにできること、また取らなければならない包括的な手順を理解することが不可欠である。
課題を理解する
第三者リスクの観点から、企業はいくつかの主要な課題に直面している。第1に、多くの企業は、データやシステムへのアクセスを共有するすべての第三者の完全な在庫リストを持っているわけではない。例えば、セキュリティへの影響を検討したり、ITセキュリティの賛同を得たりすることなく、サービスを立ち上げたり、AIの購読料の支払いを開始したりすることは比較的容易である。その意味で、AIは新たな「シャドーIT」とみなすことができる。貴社の組織は、企業内のあらゆる場所でどのようなツールが使用されているかを把握し、これらのツールの安全な使用を確保するために優れたITガバナンス・プロセスを導入する必要がある。
もう一つの課題は、多くの組織のリスク評価プロセスにおいては、供給業者、サプライヤー、その他の第三者が積極的には参加していないことである。供給業者は、SOC2やISOの認証を完了し、それらの監査報告書が、顧客がリスクを評価するために必要なすべてを提供していると信じているかもしれない。ただし、このプロセスには通常、ビジネスに対するリスクの影響に関するより詳細な分析、統制マッピング、および広範な視点が含まれるが、それには内部統制のより深い検査が必要である。
多くの企業は、このような重要なステップを単に省略したり、ざっくりとした調査しか行っていない。リスク評価と分析を自動化する製品は、契約が締結され、そしてビジネス協定が確定される前に、すべての関係者がリスクを正確に評価することを容易かつ迅速化するのに役立つ。
第三者のサイバーリスクを管理する方法
企業が信頼する第三者供給業者の多くは、コンプライアンス規制を満たすため、あるいは許容可能なセキュリティ体制を維持するための徹底的な措置を講じていない可能性がある。詳細なデューデリジェンスを実施し、インシデント対応プロセスを確立することは、第三者とのパートナーシップにおいて重要なサイバーリスクの検討事項である。以下の5つの対策は、どのような企業にとっても、第三者によるデータ漏洩のリスクを最小限に抑えるのに役立つ。
- より良い第三者ガバナンスのために、調達チームのプロセスを見直す。標準的なコンプライアンス・チェックに加え、新規供給業者の募集、選定、取引の開始の際に内在するサイバーリスクを理解することで、潜在的な脆弱性をより可視化し、適切なデューデリジェンスの道筋を定めることができる。
- リスクレビューを優先順位付けする。第三者のリスク点検・審査は、第三者がコンプライアンスを証明するために必要な管理を定義することから始めるべきである。次に、セキュリティレビューの頻度を決定し、第三者のリスクに対処するための修復および仲裁プロセスを定義する。
- 第三者のインシデント対応手順をテストする。第三者のサイバーインシデントに対処するためのインシデント管理プロセスを定義し、机上演習を活用して対応とコミュニケーションを継続的にテストする。このプロセスにより、侵害時のコミュニケーションを改善し、最終的にはインシデント発生時の回復時間を短縮することができる。
- 侵害が発生した場合、アクセスとシステムを隔離する。ローカルホスト制限、ネットワークアクセス制御、権限制約、およびアカウント削除/ロックを活用して、攻撃者がネットワーク全体を自由に移動するのを阻止する。
- 第三者の侵害や脆弱性を継続的に監視する。影響を受けるソフトウェアやプラットフォームからの内部動作、供給業者やその他の関係者とのアクセス、評判および脅威インテリジェンスサービスを監視して、貴社組織への影響を判断する。外部脅威の状況を監視して、第三者による重大な侵害や脆弱性がないか確認する。侵害が発生した場合、または供給での脆弱性が特定された場合は、サプライチェーンのリスクと積極的な対応策を評価するために、事前準備的に連絡を取ることである。
さらに、企業は、特に第三者のサイバーリスクに関連するリスク軽減策を既存のプロセスに組み込むことで、防御を強化することができる。効果的なサイバーリスク管理には、供給業者の徹底的な評価、明確なリスク基準の定義、リスク・ランキングを使用した供給業者の優先順位付け、侵害通知とインシデント対応の調整のための効果的なコミュニケーションチャネルの確立が必要である。
もう1つの重要なステップは、調達チームのプロセスを包括的にレビューして、潜在的な第三者がビジネスにもたらすリスクの全体像を調査していることを確認することである。これには、サイバー脆弱性、業務リスク、評判上の懸念、コンプライアンス義務、財務状況などが含まれる。サイバーの観点から、企業は供給業者のセキュリティ管理も評価する必要がある。
最後に、安全な組織は、何がビジネスにとって許容可能なリスクであるかを見極めるため、構造化されたリスク改善プロセスを備えるべきである。第三者との関係に関連するリスクを軽減することで、組織は全体的なサイバーセキュリティ体制を強化し、機密資産を潜在的な脅威から保護することができる。また、これらの点検・審査により、規制要件と業界標準により合致することが促進され、組織全体でコンプライアンスとリスク認識の文化を発展させることになる。
インシデント前後の計画を策定する
将来のリスクを管理するためには、インシデントが発生する前に効果的に計画を立てることで大きな違いが生じる。文書化、接続の最新状況の可視性、事業、第三者および第四者の間でのデータフローなど、組織全体にわたる侵害の影響を迅速に特定するためのメカニズムを用意することが不可欠である。これにより、影響を受けた資産やサービスを隔離し、必要なトリアージを行うことができる。影響を迅速に特定することで、組織は影響を受ける当事者との事実に基づく外部コミュニケーションを通じてリスクに関する語り口をより適切に制御し、迅速に解決の道を推進することができる。もちろん、組織内に資源や専門知識を持たない場合は、評判の良いセキュリティ会社が支援してくれるはずである。
侵害が適切に処理された後は、このような事態が再発しないよう、影響とその結果講じられた措置に焦点を当てた事後調査を実施することは、常に賢明なことである。これにより、継続的な改善プロセスが生まれ、将来のサイバーリスクに対して組織が成功するための準備が整うことになる。
トピックス
サイバー、新興リスク、リスクアセスメント、リスクマネジメント、セキュリティ、サプライチェーン、技術
注意事項:本翻訳は“Fortifying Defenses Against Third-Party Cyberrisks ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/02/29/fortifying-defenses-against-third-party-cyberrisks) February 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ブラッド・ヒッバートはプリヴァレント社社長兼最高セキュリティ責任者。