外部委託先サイバーリスクアセスメントサービス

サプライチェーン攻撃のリスク可視化とニューノーマルの委託先管理への移行を支援

外部委託先・パートナーのセキュリティ対策は大丈夫ですか?

サプライチェーン攻撃等の企業にとっての新たなリスクへの実効性のある対策を支援

企業様において、外部委託は業務を遂行する上で必要不可欠です。一方、外部委託先における不祥事は数多く発生しており、昨今、適切な外部委託先管理は、重要テーマとして対応が義務付けられており、経営の重要な関心事項となっています。

外部委託先サイバーリスクアセスメントサービス は、TIPとアナリストを組み合わせた脅威インテリジェンスサービス「IntSights」を使って、委託先や協業パートナー、子会社等に対して、その企業様からの情報漏洩の状況やサイバー攻撃の標的になっているか等を調査し、リスクスコア付きの日本語レポートとしてご提供するサービスです。企業様の外部委託先リスクの把握・対策をご支援をいたします。

委託先アセスメント

委託先へ影響を与えることなく、アセスメントが可能

セキュリティレベルの可視化

注視すべき 委託先 とその セキュリティレベル が一目瞭然

委託情報を含めた管理

弊社Supplier Risk MTとの連携により、委託情報を含めた管理が可能

サプライチェーン攻撃の脅威とは

外部委託先(サプライチェーン)による漏洩リスクなど、外部委託先を狙った新しい攻撃手法が重大な脅威となっており、自社だけでなく委託先のリスク管理は大変重要です。

それを受けて、外部委託先に対してチェックシートなどによるヒアリングおよび監査に加え、さらに重要な委託先については、より実態に即したシステムのセキュリティ不備の有無や情報漏洩の有無を知りたいというニーズが高まってきております。

  • 2017年の1年間で、56%の企業が、外部委託先による情報漏洩を経験 ※1
  • サードパーティによる情報漏洩の紛失記録あたりのコストは、自社による情報漏洩よりも8.7%高い ※2
  • 日本政府も外部委託先リスク(サプライチェーンリスク)を重要視している

組織における情報セキュリティ10大脅威 2022(IPA発表)

1位
ランサムウェアによる被害
2位
標的型攻撃による機密情報の窃取
3位
サプライチェーンの弱点を悪用した攻撃
4位
テレワーク等のニューノーマルな働き方を狙った攻撃
5位
内部不正による情報漏えい
6位
脆弱性対策情報の公開に伴う悪用増加
7位
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
8位
ビジネスメール詐欺による金銭被害
9位
予期せぬIT基盤の障害に伴う業務停止
10位
不注意による情報漏えい等の被害
※1 Ponemon Institute 2017 Data Risk in the Third Party Ecosystem Study
※2 Ponemon 2018 Cost of a Data Breach Study

TIPとアナリストを組み合わせた脅威インテリジェンスサービス「IntSights」による

外部委託先サイバーリスクアセスメントサービスのご案内

TIPとアナリストを組み合わせた脅威インテリジェンスサービス「IntSights」

「IntSights」では、Threat Third Party という機能により、ビジネスパートナーや取引先企業に関する情報漏洩や、サイバー攻撃の標的になっているかなどを調査し、その結果をリスクスコア付きのレポートとして出力できます。

お客様はそのレポートの結果をもとに、取引の判断材料としたりサプライチェーンのリスクマネジメントに役立てたりすることが可能です。

リスクスコア付き診断結果のレポート

ダークウェブからも脅威を見つけます

サービスの特長

リスクスコア付きの診断結果のレポート をお客様にご提供いたします。
(今後日本語でのレポート提供を予定)
他社のアセスメントサービスはIT監査を目的としたものが多いのに比べて、Threat Third Party は サイバーリスク が診断対象となります。

外部委託先サイバーリスクアセスメントサービスの流れ

お客様
  • 1. 英語での会社名と会社のドメインと業種をシートに記入してGRCSに提出(追加でEメールアドレス、サブドメイン、IPアドレスの提出も可能)
 
 
 
  • 7. GRCSよりレポートを受領
 
 
 
 
 
 
GRCS
  • 2. お客様よりシートを受領
  • 3.  弊社アナリストが受領したシートの内容を精査し、IntSightsへアセスメント依頼を実施
 
 
  • 6.  IntSightsよりアセスメント結果を受領し、お客様へ送付
 
 
 
 
 
 
IntSights
 
 
  • 4. アセスメント開始
 
  • 5. アセスメント完了

よくあるご質問

Q : アセスメントを実施するのに必要なものは?

A : 診断対象の企業の正式な英語の会社名とドメインと業種です。

Q : アセスメントはどの企業でもできるのか?

A : 海外企業も含めてどの企業でも可能です。

Q : アセスメント完了までにかかる時間は?

A : 標準では5日間程度となります。

Q : 診断対象の企業に事前の許可は必要か?

A : 診断対象の企業のシステムに影響を与えることはないので、原則必要ありません。

Q : 診断対象の企業でファイアウォール等セキュリティ機器の穴あけは必要か?

A : 必要ありません。診断対象の会社の内部ネットワークにはアクセスしません。

Supplier Risk MT 連携サービス

外部委託先のリスク管理を行うためのクラウドサービス「SRMT」と本サービスを連携することにより、下記を実現することができます。

過去の履歴など一元化

過去のアセスメントの履歴を含めた委託先管理の一元化

相関分析

委託契約の内容とアセスメント結果の相関分析が可能

委託先の総合評価

チェックシート等による調査結果を踏まえた、委託先の総合評価を実現

外部委託先サイバーリスクアセスメントサービス

に関するお問合せはこちら
そのほか、製品に関しての詳しい内容やご質問などお待ちしております。
お問合せ・資料請求