この記事はBitSight社のブログを翻訳したものです。
原題：How to Define Your Cyber Risk Appetite & Hold Vendors to the Threshold

https://www.bitsight.com/blog/cyber-risk-appetite

サイバー攻撃が急増する今日、企業は拡大するデジタルフットプリントの保護という責務を負っています。では、ベンダーがもたらすリスクについてはどうでしょうか。

1,000以上のサードパーティと協業している組織は、全体の60%を占めると推定されています。したがって、サードパーティを適切に審査しなければ、自社がリスクにさらされてしまいます。

ところが、協業を始める前や協業期間中、ベンダーを個々に精査するとなると、非常に時間と手間がかかります。セキュリティチームや法務チームとしては、何としても避けたい作業でしょう。 しかし、方法は他にもあります。サードパーティの脆弱性を個別に管理するのではなく、サイバーリスク許容度に基づいてリスク管理の優先順位を決める方法を採用すれば、時間とリソースを節約できます。

サイバーリスク許容度とは

サイバーリスク許容度とは、企業が目的を追求するために許容できるリスクの大きさを示します。リスク許容度を設定しておくことで、取引先の選定や、セキュリティリソースの配置方法・配置場所を決定する際の重要な情報となり、自信を持って意思決定を行うことができます。また、リスク管理の効率化にも役立ちます。 ここでは、自社のサイバーリスク許容度を定義し、ベンダーに基準遵守を依頼する作業を、セキュリティチームに負担なく行う4つの方法を解説します。

ベンダーに適用するリスク許容レベルを設定する

ベンダーに対して許容できるリスクを一貫した方法で設定する方法の1つが、セキュリティ評価です。BitSightセキュリティレーティングは、ベンダーのサイバーセキュリティ態勢を客観的に示す外部メトリクスであり、250～900のスコアで示されます。このスコアは、ベンダーの選定プロセスで考慮すべきリスク許容レベルとして活用できます。このスコアを活用することで、堅固なセキュリティコントロールを実装しているベンダーよりも、許容レベルに達していないベンダーに注力できるようになり、時間と労力の節約が可能です。

ビジネスという点での重要度とリスクに基づいてベンダープールを階層化することで、リスク許容度をさらにきめ細かく定義できます。たとえば、機密データにアクセスできる給与計算サービス会社は最も高い階層に分類されるため、より高い水準のセキュリティパフォーマンスを求めるべきです。一方、フードサービス会社はこれよりも低い階層に分類されるため、それほど厳しくない水準が適用されます。 階層化には、法務、財務、コンプライアンスの各チームとの連携が必要になりますが、BitSightのティア・レコメンド・サービスを利用することで、このプロセスをスピードアップできます。これは、階層化のベストプラクティスに基づき、サードパーティの特性やリスクに応じて階層を推奨するサービスです。

リスクベースの調達・オンボーディングポリシーを導入する

ベンダーを階層化したら、各階層に調達・オンボーディングポリシーを適用します。これにより、新たな取引先が登場するたびに、セキュリティを精査する必要がなくなります。

たとえば、最も高い階層に分類されるベンダーには、非常に詳細なセキュリティ評価に加えて、オンサイト訪問を義務付けるポリシーを適用します。これに対して、下位のベンダーには、過去にセキュリティ侵害が発生した場合にのみ評価を行うポリシーを適用します。

また、BitSightセキュリティレーティングでは、自社のサイバーリスク許容度に応じてベンダーに優先順位を付け、優先度に応じてセキュリティ態勢をチェックすることができます。たとえば、セキュリティレーティングのスコアが高いベンダーにはあまり厳密でない評価プロセスを適用し、スコアの低いベンダーには徹底した評価プロセスを適用するような設定が可能です。 リスク許容度の設定が完了したら、法務部門と共にポリシーを策定し、契約を作成します。たとえば、契約中、事前に合意したセキュリティレーティングスコアを下回らないことを求めるサイバーセキュリティSLAなどを交わすことができます。

ベンダーを継続的に監視する

サイバーセキュリティの精査は、契約書に署名した時のみに実施し、そこで終わるものではありません。BitSight for Third-Party Risk Managementは、提携関係が続く限り、ベンダーのサイバーリスクプロファイルを継続的にモニタリングするサービスです。 このサービスでは、ベンダーが自社の機密データにどの程度アクセスするかに応じて、継続的モニタリングのレベルを設定できます。また、ベンダーのスコアの変化を通知するアラートの設定や、ベンダーを再評価する条件を定義するルールの作成も可能です。

サイバーリスク許容度を再検討する

最後に必要なのは、サイバーリスク許容度の再検討に向けた準備です。脅威は進化しビジネス目標も変化しますから、組織がさらされるリスクとその許容レベルを継続的に把握する必要があります。 ステークホルダーがセキュリティリスクについて討議するタイミングを設定してください。たとえば、ベンダーのポートフォリオでデータ漏洩が発生した時点や、新規パートナーシップが必要になる新製品シリーズの発売などがあります。最新の状況を把握することで、その情報をサードパーティリスク管理プログラムに反映させ、セキュリティの優先順位とポリシーをどのように進化させていくべきかを検討できます。

BitSightのサービス内容について

弊社BitSightのWebページをご覧ください。お問い合わせは以下のボタンよりフォーム入力をお願いいたします。

サイバーセキュリティレーティング「BitSight」

Bitsightに関するお問い合わせ

下記ボタンをクリックしてフォームよりご連絡ください。

Bitsightに関するお問い合わせはこちら