1.サプライヤーを知る
企業が関与している組織は多くの場合、サプライヤーが誰であるかを知りません。まずは調達を皮切りに、調達先にリストを求めることもできますが、ITサプライヤーだけでなく、金融プロバイダーから宅配会社に至るまで、すべてを精査する必要があります。調達部門は多くの場合、サービスまたは取引のレベルでのみサプライヤーを精査し、取引の小さいサプライヤーは精査の対象に入っていません。例えば企業ギフトを送るための全顧客リストが登録されている印刷会社などはそうかもしれません。Trustwave社が関与した、ある大きな企業の例では、なんと12,000を超えるサプライヤーが存在していたのです。この企業は、これほど多くのサプライヤーがもつリスクの量を認識していなかったので、サプライヤーを精選することにしました。
2.リストの優先順位を明確にする(リストのトリアージ)
次のステップでは、どのサプライヤーがビジネスにおいて重要であるかを明らかにします。そして、サプライヤーが被るサイバーインシデントが、あなたの企業にどのような影響を及ぼすかを評価します。コンサルタントは、ベンダーを重要度で分けてグループ化しましょうと言いますが、これは想像よりも難しいかもしれません。GoogleのCISOであるPhil Venables氏の書いたこの記事を読んでみてください。一見無害に見えるサプライヤーでも、感情的にリスクの高い層に押し込まれてしまう場合があるということが理解できるかと思います。そのベンダーは、会社のシステム、分類されたデータ、またはPIIにアクセス可能でしょうか?企業のビジネスにどのように関係し、インシデントが取締役会、経営陣、または事業運営にどのような問題を引き起こす可能性があるのか、ベンダーの重要性を正しく評価する必要があります。
3.適切な質問により、評価に必要なエビデンスを得る
評価のフレームワークは、米国国立標準技術研究所(NIST)やCISクリティカルセキュリティコントロール(以前のSANS)を始めとして、あらゆるサイバーセキュリティにおける標準およびベストプラクティスを網羅している必要があります。評価に必要なエビデンスを得るための質問は、データを暗号化するサプライヤーの機能、MFAを使用するかどうか、サプライヤーのパスワードポリシー、パッチプログラム管理、アーキテクチャとセグメンテーション、クラウドの使用など、多岐にわたります。質問のバランスが取れているということも評価においては重要です。質問が少なすぎると、実際に何が起こっているのかわからないかもしれません。反対に質問が多すぎると、サプライヤーからの返信が来ないという可能性もあります。トラストウェーブ社は、適切な量であると考える、評価に対応した23のプライマリドメインを持っています。ただし、重要な点は、評価のアンケートはほんのスタートに過ぎないということです。セキュリティポリシー、侵入テストレポート、ISO27001やSOC2レポートの認証といったエビデンスを取得しなければなりません。(注意:サプライヤーはこれらのレポートを偽造する可能性があるため、レポートが合法であることを確認する必要があります。)
4.鋭い視点で結果を分析する
評価とは、ツールやその背後にある人間の分析があってこそのものです。どのパラメータがベンダーのリスクに影響を与えるのか、そして、脆弱性がどのようにしてビジネスに影響を与えるのかを理解する必要があります。たとえば、そのベンダーのSSLの脆弱性によって、ビジネスはリスクにさらされるでしょうか?もし、クライアントのデータを公開されているシステムに保存している場合は問題があり、高リスクと言えます。しかし、フロントで花を売っている場合は問題ではありません。
トラストウェーブ社の担当者は、アンケート結果をまとめる担当者に「これがあなたのコアコンピタンスですか?」と確認しました。種々のサイバーセキュリティレポート、証明書、スキャン、リッチテキスト形式で書かれた質問への回答をまとめるには、相応のスキルレベルと時間が必要とされます。それには、ITもしくは監査の専門家が有する幅広い知識が必要とされ、AIベースのセキュリティスキャンでは正確に処理できるものではありません。もし、これらのタスクをアウトソーシングしている場合は、ベンダーの専門分野であるかどうかの確認が必要です。ベンダーはこれらの仕事を迅速に全うできる専門家でなければなりません。また、役に立つインテリジェンス、つまり高リスクなサプライヤーとの間に生まれたギャップに対処すべきアクションの推奨事項も提供してもらう必要があります。
5.自動スキャンツールの使用は慎重に
ステップ2(リストのトリアージ)を実行しておらず、全ベンダーをスキャンしている場合は特に、自動スキャンツールは確かに役割を果たしてはくれますが、ライセンスコストは著しくかさんでしまいます。これらのベンダースキャンツールは、ターゲットとなるベンダーの外部から見たセキュリティプロファイルを提供します。公開されているシステム、Webサイト、サーバー、接続プロトコル、公開データがコンパイルされて、最終スコアが生成されます。これは、リスクの低いサプライヤーにはそれで十分かもしれません。しかし、サプライヤーが6か月以内に問題を起こすかどうか予測するだけでは不十分です。たとえば、ベンダーがパッチプログラムを持っていない場合はどうでしょうか。攻撃者がゼロデイ攻撃をしかけたときにリスクが発生する可能性があります。今日のスキャンではわからなかったとしても、経験豊富なアナリストが行った評価は先見の明があり、もしイベントが起きたときには、各ベンダーにどれほどの対応能力があるのかを知ることができます。
6.脅威の検出をSCR戦略の一部に
トラストウェーブ社は、いくらリスク評価をしても、ソーラーウィンズの脆弱性がもたらすような、国家による潜在的な攻撃からは守れないと考えます。しかし、脅威検知サービスや機能を利用すれば、インシデントや侵害をリアルタイムで警告することができます。少なくとも、最悪の事態が発生したときに迅速に対応できるようになり、脅威が重要なシステムに到達する前に食い止めることができるようになります。
サプライチェーンリスクに対抗できるレジリエンスを高めたい場合は、トラストウェーブ社にご相談ください。トラストウェーブ社のサプライチェーンリスク診断サービスを使えば、SCR管理プログラムの稼働までにかかる時間を短縮できるでしょう。
あるいは、サイバーリスク評価を再検討する場合、またはビジネスとしてサイバーリスク評価を行うことをお考えで、効率的なサードパーティを探す場合は、マネージドベンダーリスク評価サービスの詳細をご覧ください。
