製造業のサプライチェーンセキュリティ対策に欠かせない「TPRM」とは？：製造業のサプライチェーンサイバーリスク管理：その重要性と具体策（後編）（2/2 ページ）

[橋本詩保／SecurityScorecard，MONOist]

脆弱性管理と外部監視の重要性

　攻撃者は最も抵抗の少ない経路を狙うため、サードパーティー由来のサイバーリスクは増加の一途をたどっています。組織内で強力な防御に直面すると、攻撃者はセキュリティ対策が脆弱な可能性が高いサードパーティープロバイダーに標的を切り替えます。

　2024年、大手総合モーターメーカーのグループ会社を狙ったランサムウェア攻撃やCrowdStrikeの障害など、注目度の高いインシデントによって企業がベンダーから受けるリスクが浮き彫りになり、TPRMの重要性が一層、明らかになりました。特に前者のランサムウェア攻撃は、本社だけでなくグループ他社や海外法人のデータも暗号化されるなど、海外を含むグループ全体に影響を及ぼしました。たった1つのベンダーのセキュリティ障害が、業務の停止とサプライチェーン全体への波及を引き起こしたのです。サードパーティーへの依存とリスク管理の不足は、1つの脆弱性が全システムを崩壊させる事態を引き起こす可能性を示しました。

　他方、CrowdStrikeの不完全なアップデートで世界中の何千ものシステムが機能しなくなった事例は、最も信頼されているベンダーでさえ、意図せずに大規模な混乱を引き起こす可能性があることを示しました。継続的な監視とリアルタイムの対応はいまや不可欠です。ベンダーのセキュリティ状況を常に把握していなければ、サイバー災害を未然に防ぐことは困難なものとなっています。

ベンダーのサイバーセキュリティ管理とインシデント対応の強化

　サードパーティーリスクを軽減するには、契約上の合意や監査といった従来の要素に加え、ベンダーリスクをライフサイクル全体で管理する戦略が必要です。以下に、その具体的なアプローチを説明します。

• 契約上の保護措置：セキュリティ義務やデータ保護プロトコル、パフォーマンスメトリックを契約上で明確に定義し、ベンダーの説明責任を強化します。これにより、リスク管理のための法的枠組を確立
• 積極的なリスク評価：初期評価だけではなく、ベンダーのリスクプロファイルを定期的に見直し、新たな脆弱性を把握します。この手順により、ビジネス環境の変化に応じて新たな脅威に先手を打つことが可能に
• 継続的な監視：AI駆動型ツールやリアルタイム監視システムを導入して、潜在的なリスクが拡大する前に警告を発します。即時対応が可能になり、侵害や運用上の障害リスクを軽減
• インシデント対応計画：明確なコミュニケーションプロトコルとインシデント対応計画を確立して、最悪のシナリオに備えます。問題発生時に迅速な対応が可能になり、被害が最小限に抑えられ、ビジネスの継続性を確保

　組織はこれらの戦術を統合することで、インシデント発生時の混乱を最小限に抑え、コンプライアンスを維持し、サードパーティーのリスクに対する防御を強化できます。

　次に重要なのは、ベンダーの詳細な把握です。ベンダーのセキュリティ対策、データ処理手順、インシデント対応計画を評価することで、潜在的なリスクを特定できます。役割やセキュリティの成熟度に基づいてベンダーの優先順位付けを行い、脆弱性を改善するとともに、より回復力を持つサプライチェーンの構築へとリソースを集中していきましょう。

　企業は強固なTPRMプログラムの実装が求められています。初期のリスク評価にとどまらない、ライフサイクル全体にわたった継続的な監視とベンダー評価を組み込むことは、リスクを最小限に抑え、重大な運用停止を防ぐうえで不可欠です。

橋本詩保（はしもと しほ）
SecurityScorecard
インターナショナルマーケティング担当 バイスプレジデント

2021年より現職。サイバーセキュリティやテクノロジー業界で、20年以上業務を経験。SecurityScorecard以前には、コンピュータゲーム開発企業であるRovio Entertainmentの子会社 Hatch Entertainmentで、SamsungやNTTドコモなどのパートナーと共にモバイルクラウドゲームの世界展開を主導してきた。アイデンティティアクセス管理および暗号化の世界的リーダであるSSH Communications Securityでは、世界的にマーケティングチームを率いるなど、グローバルな視点でマーケティング戦略を展開。

⇒その他の「製造業のサプライチェーンサイバーリスク管理」の記事はこちら