サイバーセキュリティとリスクマネジメントの世界に足を踏み入れ、企業社会を揺るがす複雑な現象、すなわちサードパーティリスク統計の解明に重点的に取り組んでいます。現実には、サードパーティによるサイバーセキュリティの脅威は深刻な懸念事項となっているだけでなく、財務面と風評面の両方で甚大な損失をもたらしています。
これらのリスクの動態を理解するためには、まずサイバーセキュリティの文脈における「サードパーティ」の意味を深く理解する必要があります。サードパーティとは、サプライヤー、請負業者、パートナー、あるいは企業の情報やデータネットワークに直接的または間接的にアクセスできるその他の組織を指します。サードパーティリスクとは、これらの組織が必要なデータセキュリティ対策を講じていない場合、あるいは悪意を持っている場合に、潜在的な脅威をもたらすことを意味します。
数字を明らかにする
Soha Systemsの調査によると、データ侵害の60%以上はサードパーティベンダーに起因しています。さらに深刻な状況として、デロイトのサードパーティリスク管理調査では、回答者の87%が過去2~3年の間にサードパーティとの重大なインシデントを経験していると回答しています。特に注目すべきは、Ponemon Instituteの調査によると、サードパーティによる侵害は2018年以降27%増加しているとのことです。
言うまでもなく、これらの数字は安心できるものではありません。サードパーティを巻き込んだサイバー脅威や侵害の増加は、企業がサードパーティのリスク管理にさらに注意を払う必要があることを示しています。
さまざまな角度から見たサードパーティリスク
サードパーティに関連するリスクを理解するには、これらの組織のうち、データ侵害に関与した割合を特定するだけでは不十分です。企業を悩ませる可能性のある、さまざまな種類のサードパーティリスクについても検討する必要があります。これを分析するために、コンプライアンスリスク、オペレーショナルリスク、レピュテーションリスクという3つの主要なリスクカテゴリーをさらに詳しく分析することができます。
根本原因
サードパーティリスクの急増の背景には、多面的な要因があります。デューデリジェンスの欠如からサードパーティへの継続的な監視の失敗まで、リスクに寄与する要因は多岐にわたり、時には複雑に絡み合っています。特に、急速なデジタル変革がこの状況において重要な役割を果たしていることは注目に値します。
より良いリスク管理に向けて
堅牢なサードパーティリスクマネジメント(TPRM)プログラムの導入は、もはやオプションではなく必須です。このようなプログラムには、デューデリジェンスの実施、サードパーティとの関係の継続的な監視、インシデント対応計画の策定、サードパーティリスクの評価を支援するテクノロジーへの投資といったステップが含まれます。
サードパーティリスクをより適切に管理する必要性を認識し、様々な政府機関および非政府機関がこの問題に対処するためのガイドラインを導入しています。例えば、通貨監督庁(OCC)は、サードパーティ関係リスクの管理に関する具体的なガイドラインを策定しています。
結論として、サイバー脅威や侵害におけるサードパーティの大きな貢献を示す統計は、実に憂慮すべきものです。様々なビジネスプロセスにおけるサードパーティへの依存度の高まりと、急速なデジタルトランスフォーメーションの進展は、企業の脆弱性の範囲を拡大させるばかりです。したがって、目指すべきは、サードパーティリスクの複雑さと重大性を理解した上で、堅牢なサードパーティリスク管理システムを構築することです。重要なのは数字だけではありません。それらの数字を理解した上で、私たちがどのような行動を選択するかが重要です。