VRM(Vendor Risk Management、ベンダーリスクマネジメント)とは、企業が委託先や取引先の製品・サービスが、規制・財務・オペレーションの面で負の影響を発生させないようにするためのリスク管理プロセスです。
図:委託先や取引先に対するリスク管理プロセス
DX(デジタルトランスフォーメーション)推進やグローバル化が進むビジネス環境では、自社のリソースだけでビジネスは完結せず、委託先・取引先といった企業間の連携が欠かせません。一方、ランサムウェア攻撃や脆弱なサプライチェーンを狙った攻撃の増加などサイバーリスクが高まっていることから、委託先・取引先に対するセキュリティ観点でのVRMの確立が喫緊の課題になっています。
すべての取引先・委託先に対し、同水準のセキュリティレベルを要求し統制することは困難であるため、統制を実施すべき対象と、対象に応じたセキュリティ水準を定め、各社の状況評価と改善活動を継続的にモニタリングする必要があります。
セキュリティ人材や予算が不足する日本企業において、委託先・取引先に対するセキュリティ観点での統制業務の効率化や継続的な評価の実現のため、VRMツールへの注目が高まっています。
