　サプライチェーンおよびサードパーティーに対するサイバーリスク管理は、企業がサプライチェーンの関係者からもたらされる可能性のあるサイバーリスクを把握し、適切に対応するために不可欠です。特に、製造業はランサムウェア攻撃の標的となりやすく、製造ラインの停止を避けるためにも、サプライチェーンの可視化とサードパーティーの役割を明確に把握しておくことが求められます。

　本記事では、以下の項目について説明していきます。

製造業におけるサードパーティーリスク管理（TPRM）の導入
脆弱性管理と外部監視の重要性
ベンダーのサイバーセキュリティ管理とインシデント対応の強化

⇒前編はこちら

製造業におけるサードパーティーリスク管理の導入

　サプライチェーンとは商品の企画／開発から、原材料や部品の調達、生産、在庫管理、配送、販売、消費までのプロセス全体を指します。すなわち、商品が最終消費者に届くまでの「供給の連鎖」といえます。サプライチェーンは経済活動のグローバル化に伴い、国境を越えて構築されるようになり、複雑化しています。

　SecurityScorecardが2023年に実施した調査によると、セキュリティ侵害の少なくとも29％がサードパーティーへの攻撃に起因しています。また、ランサムウェア攻撃からデータ侵害まで、サプライチェーンに潜む脅威は想像以上に広範囲に及んでいます。セキュリティチームの多くは、サプライチェーンのネットワークに潜むさまざまなサイバーリスクを把握できていません。そのほとんどは、検出や管理、軽減など対策が困難なものなのです。

　サプライチェーンまたはサードパーティーのリスク管理は、組織のデータやシステムにアクセスするとともに、組織の運用方法に関わったり、それらに影響を与えたりするサードパーティーのベンダーやサプライヤー、請負業者、その他の外部機関について、関連するリスクを特定、評価、軽減するために、組織が適用する一連の対策プロセスです。サードパーティーはデータ侵害やコンプライアンス違反、業務の中断、評判の低下など、組織に重大なリスクをもたらす可能性があるため、TPRMは非常に重要です。また、複雑性が増すサプライチェーンにおいてTPRMの導入は、製造ラインの中断を避けるべく、細心の注意を払いながら進める必要があります。

　一方、サプライチェーンのリスク管理の現状は、憂慮すべき傾向を示しています。多くの企業はサードパーティーベンダーのセキュリティ評価に時代遅れの方法を採用しており、脅威や脆弱性をリアルタイムに把握できていません。その結果、多くの組織はサプライチェーンにリスクを内包したままとなっています。サプライチェーンを保護するには、プロアクティブなアプローチが不可欠となります。

　これから、製造業に適した効果的なTPRMとその運用項目をご紹介します。

サードパーティーの識別：自社とやりとりする全てのサードパーティーベンダーとサービスプロバイダーを識別
リスクの評価：リスクへの態勢、データ処理方法、規制要件への準拠など、各サードパーティーベンダーに関連するリスクレベルを評価
リスクの軽減：契約上の合意、セキュリティ監査、継続的な監視など、特定されたリスクを軽減するための制御と対策の実装
継続的な監視：サードパーティーベンダーを継続的に監視し、組織の標準および規制要件に準拠していることを確認
ベンダーリスク管理：ベンダーに対するリスク評価アンケートの使用、定期的なリスク評価の実施、リスク軽減戦略の実装により、サードパーティーベンダーに関連するリスクを管理

　包括的なTPRMプログラムを実装することで、組織はサードパーティーに関連するリスクを軽減し、評判と機密データの保護や規制順守の維持も可能になります。

脆弱性管理と外部監視の重要性

　　　　　　 1|2 次のページへ