外部委託先サイバーリスクアセスメントサービス

サプライチェーン攻撃のリスク可視化とニューノーマルの委託先管理への移行を支援

外部委託先・パートナーのセキュリティ対策は大丈夫ですか?

サプライチェーン攻撃等の企業にとっての新たなリスクへの実効性のある対策を支援

企業様において、外部委託は業務を遂行する上で必要不可欠です。一方、外部委託先における不祥事は数多く発生しており、昨今、適切な外部委託先管理は、重要テーマとして対応が義務付けられており、経営の重要な関心事項となっています。

外部委託先サイバーリスクアセスメントサービス は、TIPとアナリストを組み合わせた脅威インテリジェンスサービス「IntSights」を使って、委託先や協業パートナー、子会社等に対して、その企業様からの情報漏洩の状況やサイバー攻撃の標的になっているか等を調査し、リスクスコア付きの日本語レポートとしてご提供するサービスです。企業様の外部委託先リスクの把握・対策をご支援をいたします。

委託先アセスメント

委託先へ影響を与えることなく、アセスメントが可能

セキュリティレベルの可視化

注視すべき 委託先 とその セキュリティレベル が一目瞭然

ダークウェブ
ディープウェブ

ダークウェブ・ディープウェブ ※1 を含めて、深い調査が可能

委託情報を含めた管理

弊社Supplier Risk MTとの連携により、委託情報を含めた管理が可能

※1 ディープウェブ(Deep Web)・ダークウェブ(Dark Web)
ディープウェブ(Deep Web): ログインでアクセスするなどで閲覧制限されているWebサイト。一般的なWebブラウザでアクセス可能だが、Googleのような検索結果に表示はされない。不正なサイト以外も含まれる。
ダークウェブ(Dark Web): 一般的なWebブラウザではアクセスできず、検索結果にも表示されない。匿名性保持や追跡回避の技術が使用されており、専用ツールを使用しないとアクセスできないWebサイト。ディープウェブの一部。不正なサイト以外も含まれる。

サプライチェーン攻撃の脅威とは

外部委託先(サプライチェーン)による漏洩リスクなど、外部委託先を狙った新しい攻撃手法が重大な脅威となっており、自社だけでなく委託先のリスク管理は大変重要です。

それを受けて、外部委託先に対してチェックシートなどによるヒアリングおよび監査に加え、さらに重要な委託先については、より実態に即したシステムのセキュリティ不備の有無や情報漏洩の有無を知りたいというニーズが高まってきております。

  • 2017年の1年間で、56%の企業が、外部委託先による情報漏洩を経験 ※1
  • サードパーティによる情報漏洩の紛失記録あたりのコストは、自社による情報漏洩よりも8.7%高い ※2
  • 日本政府も外部委託先リスク(サプライチェーンリスク)を重要視している

組織における情報セキュリティ10大脅威 2020(IPA発表)

1位
標的型攻撃による機密情報の窃取
2位
内部不正による情報漏えい
3位
ビジネスメール詐欺による金銭被害
4位
サプライチェーンの弱点を悪用した攻撃
5位
ランサムウェアによる被害
6位
予期せぬIT基盤の障害に伴う業務停止
7位
不注意による情報漏えい(規則は遵守)
8位
インターネット上のサービスからの個人情報の窃取
9位
IoT機器の不正利用
10位
サービス妨害攻撃によるサービスの停止
※1 Ponemon Institute 2017 Data Risk in the Third Party Ecosystem Study
※2 Ponemon 2018 Cost of a Data Breach Study

TIPとアナリストを組み合わせた脅威インテリジェンスサービス「IntSights」による

外部委託先サイバーリスクアセスメントサービスのご案内

TIPとアナリストを組み合わせた脅威インテリジェンスサービス「IntSights」

「IntSights」では、Threat Third Party という機能により、ビジネスパートナーや取引先企業に関する情報漏洩や、サイバー攻撃の標的になっているかなどを調査し、その結果をリスクスコア付きのレポートとして出力できます。

お客様はそのレポートの結果をもとに、取引の判断材料としたりサプライチェーンのリスクマネジメントに役立てたりすることが可能です。

日本語のリスクスコア付き診断結果のレポート

ダークウェブからも脅威を見つけます

サービスの特長

通常英語で出力される診断結果のレポートを、弊社コンサルタントが リスクスコア付きの日本語レポート にしてお客様にご提供いたします。
他社のアセスメントサービスはIT監査を目的としたものが多いのに比べて、Threat Third Party は サイバーリスク が診断対象となります。
他社のアセスメントサービスはサーフェスウェブのみを診断対象としているものが多いのに比べて、Threat Third Party はサーフェスウェブ、ディープウェブ、 ダークウェブ が診断対象となります。

外部委託先サイバーリスクアセスメントサービスの流れ

お客様
  • 1. 英語での会社名と会社のドメインをシートに記入してGRCSに提出
 
 
 
  • 7. GRCSよりレポートを受領
 
 
 
 
 
 
GRCS
  • 2. お客様よりシートを受領
  • 3.  弊社アナリストが受領したシートの内容を精査し、IntSightsへアセスメント依頼を実施
 
 
  • 6.  IntSightsよりアセスメント結果を受領し、弊社アナリストにより日本語化したレポートを作成し、お客様へ送付
 
 
 
 
 
 
IntSights
 
 
  • 4. アセスメント開始
 
  • 5. アセスメント完了

よくあるご質問

Q : アセスメントを実施するのに必要なものは?

A : 診断対象の企業の正式な英語の会社名とドメインです。

Q : アセスメントはどの企業でもできるのか?

A : ISP、クラウドサービスは対象外ですが、それ以外の企業は海外も含めて可能です。

Q : アセスメント完了までにかかる時間は?

A : 標準では5日間程度となります。

Q : 診断対象の企業に事前の許可は必要か?

A : 診断対象の企業のシステムに影響を与えることはないので、原則必要ありません。

Q : 診断対象の企業でファイアウォール等セキュリティ機器の穴あけは必要か?

A : 必要ありません。診断対象の会社の内部ネットワークにはアクセスしません。

Supplier Risk MT 連携サービス

外部委託先のリスク管理を行うためのクラウドサービス「SRMT」と本サービスを連携することにより、下記を実現することができます。

過去の履歴など一元化

過去のアセスメントの履歴を含めた委託先管理の一元化

相関分析

委託契約の内容とアセスメント結果の相関分析が可能

委託先の総合評価

チェックシート等による調査結果を踏まえた、委託先の総合評価を実現

外部委託先サイバーリスクアセスメントサービス

に関するお問合せはこちら
そのほか、製品に関しての詳しい内容やご質問などお待ちしております。
外部委託先サイバーリスクアセスメントサービス お問合せ・資料請求