サプライチェーン攻撃のリスク可視化とニューノーマルの委託先管理への移行を支援
株式会社GRCS(本社:東京都千代田区、代表取締役社長:佐々木 慈和、以下 当社)は、外部委託先のサイバーセキュリティリスクを調査しレポートとして提供する「外部委託先サイバーリスクアセスメントサービス」(以下、本サービス)を開始しました。
本サービスは、当社が開発、提供するクラウド型外部委託先リスクマネジメントサービス「Supplier Risk MT」との連携が可能であり、委託契約を含めた情報の一元化と多角的な外部委託先リスク管理の実現を支援します。
新しい生活様式の実践に伴うテレワークの拡大により企業のセキュリティ対策は急務となっていますが、近年外部委託先(サプライチェーン)を狙った新しいサイバー攻撃手法が重大な脅威となっている背景から、自社だけでなく外部委託先のサイバーリスクを正確に評価し管理、対策をすることが重要です。
チェックシートによるヒアリングや監査に加えて、重要な委託先についてはより実態に即したシステムのセキュリティ不備や情報漏洩の有無を知りたいというニーズの高まりや、新型コロナウイルス感染防止の観点から委託先への訪問監査や海外の委託先に対するチェックが困難になることが想定され、それをカバーする具体的な手段についても検討が急務です。
このような背景から当社は、外部委託先や協業パートナー、子会社等に対しその企業からの情報漏洩の状況やサイバー攻撃の標的になっていないかなどを調査し、リスクスコア付きの日本語レポートとして提供する「外部委託先サイバーリスクアセスメントサービス」の提供を開始します。
本サービスでは、イスラエルのサイバーセキュリティ企業IntSights Cyber Intelligence, Inc.が開発、提供する脅威インテリジェンス(※1)サービス「IntSights」のThreat Third Partyを活用し外部委託先のサイバーリスクを診断します。「IntSights」はサーフェスウェブ(※2)だけでなく、ディープウェブ、ダークウェブ(※3)を診断対象とし、実在するサイトに似せた偽のサイトや個人情報の流出などの情報を収集、リスクをスコア化します。
▲IntSights Threat Third Party レポート例
また本サービスは、当社が開発、提供しているクラウド型外部委託先リスクマネジメントサービス「Supplier Risk MT」(以下、SRMT)との連携が可能です。本サービスでのアセスメント結果をSRMTにアップロード可能なデータへ変換して当該データを提供、もしくはSRMTへのアップロードまでをGRCSが実施します。
本サービスとSRMTの連携により、過去のアセスメント履歴を含めた委託先管理の一元化や、重要度の高い委託契約の抽出、委託契約内容とアセスメント結果の相関分析等が可能となります。監査で不備のあった委託先を抽出し、それらの委託先に本サービスを追加で実施するという運用も可能です。
サービス詳細:https://www.grcs.co.jp/consulting/intsights
当社は今後も企業のサイバーセキュリティ対策及びリスク管理を包括的に支援することにより、高度なセキュリティ管理の実現に寄与してまいります。
<本プレスリリースに関するエンドースメント>
IntSights Cyber Intelligence Inc. 日本支社 代表 岩崎公一様
IntSights Cyber Intelligence Inc.はGRCS様が「IntSights」を活用したサービスの提供を開始されたことを心より歓迎いたします。高度なセキュリティ知見を有するアナリストとTIP(脅威インテリジェンスプラットフォーム)を組み合わせた脅威インテリジェンスサービスである「IntSights」は、企業のサードパーティリスクマネジメント向上に寄与するものと確信しています。
<Supplier Risk MT(サプライヤーリスク エムティ)について>
2017年より提供を開始した、外部委託先リスク管理クラウドサービス。外部委託先に関連するセキュリティリスクを一元的に管理し可視化することで、外部委託先リスク管理を高度化するクラウドアプリケーションです。
製品詳細:https://www.grcs.co.jp/products/srmt
※1:脅威インテリジェンス
サイバー攻撃等の脅威に関する情報を収集・分析し、攻撃の防止や検知に利用するもの。
※2:サーフェスウェブ
一般に公開され、通常の検索エンジンで検索が可能なWebサイト。
※3:ディープウェブ、ダークウェブ
ディープウェブ(Deep Web)は、ログインでアクセスするなどで閲覧制限されているWebサイト。ダークウェブ(Dark Web)は、 一般的なWebブラウザではアクセスできず、検索結果にも表示されない。匿名性保持や追跡回避の技術が使用されており、専用ツールを使用しないとアクセスできないWebサイト。ディープウェブの一部。
【オンラインセミナー開催】
サプライチェーン攻撃のリスク可視化とニューノーマルの外部委託先管理
詳細・お申込みは こちら