【解説】サードパーティのサイバーセキュリティリスク管理｜効果的な4つの実施ステップ

事例で語る！内部不正対策のポイントとは ～すぐ導入できるアクセス制御・ログ取得ツールを紹介～

2024年5月23日(木) 11:00開催ウェビナー

サードパーティに対するサイバーセキュリティリスク管理の必要性

社会のデジタル化が進展する一方で、セキュリティ対策に弱点のある取引先等が攻撃経路として狙われ、被害が拡大する「サプライチェーンの弱点を悪用した攻撃」は依然として猛威を振るっており、甚大な影響を及ぼしている。情報処理推進機構（IPA）が毎年公表している「情報セキュリティ10大脅威 組織編」の2024年版では、当該攻撃が2位にランクインしており、2019年に初めて登場して以来6年連続で上位に位置している。

当ブログでは、サードパーティを標的としたサプライチェーン攻撃への対策についてまとめている。なお、サードパーティやサプライチェーンの定義は解釈の余地があるため、本ブログでは「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素^[1]」の定義を参考とし、以下とする。

• サードパーティ：グループ企業内外に関わらず、業務上のあらゆる関係または契約がある組織
• サプライチェーン：自社とサードパーティやサードパーティ間の相互の結びつき

サードパーティとサプライチェーン

サードパーティのインシデント事例

サードパーティのサイバーセキュリティリスクに起因したインシデントが国内でも相次いでいる。ほんの一例であるが、いくつか取り上げる。

攻撃事例１：取引先からの顧客情報漏洩

金融機関では、業務委託先に対するサイバー攻撃により、業務委託先に提供していた顧客個人情報（130万件以上）が外部に流出する事態が発生した。

金融機関において業務委託先が攻撃を受けた事例

攻撃事例2：工場等の機能停止

製造系企業では、製品調達先の部品メーカーに対する不正アクセスを起因として、国内14か所にある全工場停止の事態に至った。

製造系企業において製品調達先の部品メーカーが攻撃を受けた事例

サードパーティのサイバーセキュリティリスク管理に関する国内外の指針・法律整備状況

インシデントが多発している状況に鑑み、各国でサードパーティのサイバーセキュリティリスク管理に関する公的な指針の発行や法整備の動きが加速している。日本では、経済安全保障推進法が成立し、企業はサードパーティを含めたサプライチェーン全体でのサイバーセキュリティ対策が求められている。

また、推奨事項をまとめる指針においても、重要インフラである金融機関だけではなく、製造業向けや全業界向けも発行されており、業界業種を問わずサードパーティのサイバーセキュリティリスク管理の必要性が高まっている。なお、一部の指針は法的拘束力こそないものの、ビジネス要件上、発注元から強く遵守が求められるものも存在するため、その点も留意が必要である。

サードパーティサイバーセキュリティリスク管理に関する指針・法律の一例

サードパーティに対するサイバーセキュリティリスク管理の実施ステップ

サードパーティのサイバーセキュリティリスク管理の一般的な進め方としては、大きく以下の４ステップに分類される。

サードパーティのサイバーセキュリティリスク管理における一連のステップ

そのそれぞれのステップについて、以下で解説する。

１．重要なサードパーティの特定

サードパーティのサイバーセキュリティリスクを管理するには、サードパーティの一覧を作成したうえで、重要なサードパーティの特定が必要となる。その分類には、業務委託先だけでなく、システム連携先や利用するクラウドサービスの提供元、製品調達先など多様なサードパーティが含まれる。それぞれのサードパーティとの関わり方によって、サイバーセキュリティリスクと必要な対応が異なる。以下にサードパーティの分類例とサイバーセキュリティリスク例を示す。何を重要と捉えるかは企業により異なるが、サードパーティが携わる業務分野のビジネス上の影響力やサードパーティがアクセスできる情報の重要性などが指標となり得る。

サードパーティの分類と想定されるサイバーセキュリティリスクの例

このステップで企業が抱えている可能性のある課題は、以下のとおり。

• サードパーティが多く絞り込めない（専門性・リソースの課題）
• サードパーティの分類の仕方が分からない（専門性の課題）
• 重要なサードパーティを特定するための基準がない（専門性の課題）

２．サイバー観点でのセキュリティリスク評価

重要と判断したサードパーティから優先してサイバーセキュリティリスク評価を行い、評価結果をふまえサードパーティとの取引関係の見直しを行う。このステップは特に高度な専門性と対応リソースの確保が必要なため、外部の専門家を活用することが望ましい。

このステップで企業が抱えている可能性のある課題は、以下のとおり。

• サイバーセキュリティ観点を網羅したヒアリングシートが作成できない（専門性・リソースの課題）
• ヒアリングシートの作成者とサイバーセキュリティリスク評価者が異なり、適切な評価が下せない（専門性・リソース、組織体制の課題）
• アンケートやヒアリングだけでは、回答者の主観に基づく事が多く、評価結果に客観性が乏しい（調査手法の課題）

これら課題を解決する一つの方法が、「サードパーティ・サイバーセキュリティ・デューデリジェンス（以下、同サービス）」と呼ばれる弊社のサービスである。「デューデリジェンス」はM&Aの際に、買収先の詳細を調査し評価する言葉として使われることが多いが、同サービスではM&Aに限らず、重要なサードパーティ^[2]との取引前や取引を継続する際に、サードパーティ側のサイバーセキュリティリスクを評価することも含めている。一般に同サービスで調査する情報には、以下の項目が含まれる。

調査区分と調査項目の例

同サービスでは、Governance、Risk、Compliance、Physical、Technicalの5つの調査区分について、アンケートの回答結果に対するヒアリングを実施する。加えて、Risk区分の「脅威・脆弱性調査の実施状況」は、OSINTやセキュリティスコアレーティングを活用することで、ヒアリングではカバーしきれなかった項目について調査するとともに、「客観性に乏しい」という課題も解決することができる。

Risk区分の「脅威・脆弱性調査の実施状況」の調査観点

＜OSINT（Open Source INTelligence）＞

インターネットやダークウェブで参照可能な情報に、情報流出やシステム停止に利用可能なものが含まれないかを調査する手法である。調査対象からの主観的な回答を含まないため、客観性の高い情報から評価できる特徴がある。

ヒアリングと異なり、サードパーティにとっての対応負荷はなく、検索エンジンの利用による調査など、限定的な範囲であれば比較的容易に取り組むことが可能である。ただし、調査観点や検索キーワード、調査媒体の選別などに高度な専門性が要求され、それらを補うOSINTのライセンスを（マネージドサービスではなく）個別に契約するには比較的高額なライセンス費用が必要である。

＜セキュリティスコアレーティング＞

インターネットやダークウェブで参照可能な情報を元にした、当該サービスの提供組織による評価結果を用いた調査手法である。各種ドメインやインターネットからアクセスできるシステムの製品やバージョンなどに脆弱性がないかを定期的に調査することで、対象組織が脅威・脆弱性調査や対応をどの程度のスピード感で対応しているかが評価可能である。

OSINTと同様に、サードパーティにとっての対応負荷はないものの、OSINTとは異なり、当該サービスの提供組織と契約しないと着手できず、また、情報流出の調査範囲が比較的短い傾向がある。

３．契約への反映

リスク対策に実効性を持たせるため、契約内容の更新を行う。具体的には以下のような項目を契約に盛り込むことが考えられる。

• 自社がサードパーティのサイバーセキュリティ管理態勢を監査・調査する権利を有すること
• サードパーティはサイバーインシデントの報告や対応に関する責任を負うこと
• サードパーティはサイバーセキュリティ対策の実施状況について定期的に報告すること

詳細は法律の専門家への相談を推奨するが、独占禁止法や下請法など関連法規制についても考慮する必要がある。併せて経済産業省と公正取引委員会が発行している「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて^[3]」も確認いただきたい。

４．継続的なモニタリング

外部脅威だけでなく、サードパーティとの関わり方や構成されるサプライチェーンは不変ではない。そのため、定期的または必要に応じて各ステップを実行し、新たなサイバーセキュリティリスクや残存リスクに目を光らせる必要がある。

おわりに

本ブログでは、サードパーティに対するサイバーセキュリティリスク管理の実施ステップと「サードパーティ・サイバーセキュリティ・デューデリジェンス」の活用について解説した。国内外を問わず、法規制への適合やインシデントを防止するためにリスク管理が求められているが、サードパーティの多さやノウハウ不足で企業や組織単体での対応は容易ではない。

弊社のサービス「サードパーティ・サイバーセキュリティ・デューデリジェンス」の活用は、その難しい対応の一助になりえると考えている。また、重要なサードパーティの特定などサードパーティのサイバーセキュリティリスク管理全体の支援も可能である。サードパーティのサイバーセキュリティリスクに課題を抱えている企業は、ぜひ一度弊社にご相談いただきたい。

サードパーティ・サイバーセキュリティ・デューデリジェンスサービス

サードパーティのセキュリティ統制を支援するツール 「Secure SketCH」

[1] G7 Cyber Expert Group(G7 CEG)により、金融機関におけるサードパーティのサイバーセキュリティリスクマネジメントへの取組みを支援するために策定された文書である。G7 CEGは2015年に設立され、G7におけるサイバーセキュリティ政策・戦略を調整するための組織で、G7各国及び欧州連合（EU）の金融監督当局・財務省・中央銀行等で構成されている。

[2] 「サードパーティ・サイバーセキュリティ・デューデリジェンス」では統制範囲外のサードパーティを対象とするため、グループ会社は含まない。

[3] 「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」https://www.meti.go.jp/policy/netsecurity/hontai_1028.pdf