企業がサードパーティベンダー、サービスプロバイダー、ビジネスパートナーとの相互接続性を高め、依存度を高めるにつれて、脆弱性の領域は飛躍的に拡大します。法的に「サードパーティ」と呼ばれるこれらの外部組織への依存度が高まると、潜在的リスクの複雑なネットワーク、つまり「サードパーティリスク」と呼ばれるパノラマが生まれます。このようなリスクの好例はサイバーセキュリティ分野に多く存在し、データ侵害からサプライチェーン攻撃に至るまで、多岐にわたる脅威が存在します。これらの脆弱性は、堅牢なサードパーティリスク管理戦略の導入が極めて重要であることを浮き彫りにしています。
サイバーセキュリティにおけるサードパーティリスクとは何ですか?
サードパーティリスク、あるいはベンダーリスクとは、組織が外部組織と関わることによって生じる潜在的な脅威です。これらの脅威には、企業による不正使用、従業員のミス、あるいはサードパーティのサイバーセキュリティプロトコルの不備に起因するセキュリティ侵害が含まれます。これらのサードパーティは、企業の機密データへの直接的な経路を作り出す可能性があります。したがって、サードパーティリスクマネジメント(TPRM)は、あらゆる組織のリスクマネジメント戦略において不可欠な要素です。
サイバーセキュリティにおけるサードパーティリスクの顕著な例
それでは、サードパーティのリスクの例を詳しく調べて、その危険性をさらに理解してみましょう。
1. ターゲットのデータ侵害
サードパーティのサイバーセキュリティ侵害で最も悪名高い事例の一つは、2013年のTargetの侵害です。米国最大の小売業者の一つであるTargetは、サードパーティのHVACベンダーのセキュリティ上の脆弱性をサイバー犯罪者が悪用したことで、関与が疑われました。4,000万件を超えるクレジットカードとデビットカードの情報が漏洩し、サードパーティのサイバーセキュリティプロトコルへの不注意がもたらす重大なリスクを浮き彫りにしました。
2. SolarWinds Orionサプライチェーン攻撃
2020年には、SolarWinds Orion攻撃という、サードパーティリスクの新たな恐ろしい事例が明らかになりました。サイバー犯罪者は、広く利用されているネットワーク監視ソフトウェアであるSolarWinds Orionの更新メカニズムを不正に操作しました。この侵害により、犯人は多数の顧客ネットワークへのアクセスを獲得し、広範囲にわたる重大なデータ侵害を引き起こしました。この事例は、直接のサードパーティ契約業者だけでなく、サプライチェーン全体のセキュリティ確保の重要性を浮き彫りにしています。
3. クエスト・ダイアグノスティクスの侵害
2019年、医療検査会社Quest Diagnosticsは、サードパーティのデータ侵害を経験しました。同社の債権回収ベンダーであるAmerican Medical Collection Agency(AMCA)が侵害を受け、1,200万人以上の患者データが影響を受けました。この事例は、債権回収会社のようなそれほど「魅力的」ではないサードパーティベンダーであっても、適切な保護対策を講じなければ、多岐にわたるリスクを負う可能性があることを示しています。
サードパーティのリスクから組織を保護する
サードパーティの関与に伴うリスクを特定し、理解することは、組織のサイバーセキュリティ体制を強化するための第一歩です。サードパーティリスク管理を強化するための戦略をいくつかご紹介します。
1. サードパーティリスク管理 (TPRM) 戦略を策定します。
効果的なサードパーティリスク管理戦略は、サードパーティとの関係に関連するリスクの特定、評価、監視、および軽減を統合します。
2. 定期的に第三者監査を実施します。
監査では、ベンダーの慣行、管理、ポリシー、手順を詳細に検討します。これは、組織に及ぼす可能性のあるリスクを定量化するのに役立つ重要な調査です。
3. 強力な契約条項を実施する。
第三者との契約では、サイバーセキュリティとデータ管理に関して各当事者が抱く期待、責任、制限を明確に規定する必要があります。
4. 教育し、認識を高める。
サイバーセキュリティの意識を積極的に高めることが重要です。組織と第三者にサイバーセキュリティのベストプラクティスとそれを維持することの重要性を教育してください。
結論として、Target、SolarWinds、Quest Diagnostics の侵害のような、サイバーセキュリティにおけるサードパーティリスクの事例は、接続されたネットワーク全体に潜在する脆弱性の大きさを浮き彫りにしています。これらの事例は、包括的なサードパーティリスク管理戦略の必要性を浮き彫りにしています。これらの脅威への対策は一度きりの作業ではありません。継続的なレビューの実施、防御策の構築、そして最新のサイバーセキュリティ脅威への対応が不可欠です。これらの教訓を指針として、貴社のビジネス環境に適した堅牢なセキュリティフレームワークを構築し、関係者全員が厳格なサイバーセキュリティ基準を遵守できるようにしてください。組織のサイバーセキュリティの強さは、多くの場合、最も脆弱な部分、つまり今回のケースのように最もリスクの高いサードパーティの強さに左右されることを認識してください。