こんにちは。クラウドサービス開発部あらため、GRCプラットフォーム部の徳永です。
すっかり師走の寒さとなり、温泉や熱燗が恋しい季節になってきましたが、いかがお過ごしでしょうか。
今日はこちらのテーマで少しお話をさせて下さい。
年初にIPAが発表したセキュリティ10大脅威に新たに「サプライチェーンの弱点を悪用した攻撃の高まり」が登場しましたが、
最近業務においても新たにこのテーマに取り組まれている方は少なくないのではないでしょうか。
以前は委託先の従業員や派遣社員による内部犯行的なイメージが強かったですが、
現在はサプライチェーンを意識したサイバー攻撃が起こっている事は業界全体でも共通の認識になっています。
「サプライチェーン」と呼ぶと製造・流通寄り、単に「委託先」と呼ぶと金融・サービス寄りの
考え方になりますが、どちらにしても考えられる被害としては以下のようなものが挙げられます。
- 委託先に預託している個人情報の漏洩
- 委託先に開示している設計図・未発表製品などの機密情報の漏洩
- サプライチェーンを構成する委託先の可用性や完全性が侵害され、自社の活動に影響が出る
- 委託先を踏み台とした自社への攻撃による被害
1や2は比較的イメージが付きやすいと思いますが、
潜在的なリスク(発生時の被害)としては3や4も看過できないと思います。
こうしたリスクに対して、委託先や自社のサプライチェーンに対して適切なポリシーの策定や技術的対策を行っているか等の監査(アンケート・立入)を行っている会社は多いですが、さらに踏み込んで具体的な導入ソリューションを指定したガイドラインの作成までを行う動きも出始めています。
あるIT系の大手企業では、自社の顧客の個人情報を渡すコールセンターの委託を行う場合、
全ての端末にDLPの導入を条件としていると聞きます。
また、海外では委託先に対して委託元から脆弱性検査を行い、スコアリングをしてリスクの可視化を行うようなソリューションも出てきています。
しかし一方で、セキュリティ対策が十分でないけれども、特殊な技術を持っている会社であったり、その地域でその会社以外販路がない、長年のお付き合いがあるなどの理由で、現場部門から契約を続けたいという要望が出てそれが通っている事も多いのが実情です。また、再委託や再々委託など、委託階層が深くなっている場合は、本当にどこまで情報が渡っているのか追跡するのは、商習慣や契約の立て付けによっては、おいそれと気軽に実施できない場合が少なくありません。
義理人情を持ち出されると弱いのが日本人ですが、セキュリティ原理主義を振りかざすだけでは現場部門も納得しないのは事実ですので、やはり各委託先について地道かつ適切なリスクマネジメントを行っていくことが最適化を図る上では有効なのではないかと思います。例えば以下の観点などが重要です。
・渡している個人情報の質・量と比べて、委託先のセキュリティ対策は適切かの検討
・自社にとっての委託業務の重要性と鑑みて、委託先の信用度・セキュリティは十分なのかを分析
・指摘事項に対して一向に改善が進んでいない委託先への対応方針について現場部門との協議
委託先・サプライチェーンのセキュリティリスク管理も、今後ますます重要度が高まっていくと思われます。
クラウド型外部委託先リスクマネジメントツール:Supplier Risk MT
