組織の拡大と現代化に伴い、サードパーティ ベンダーへの依存が強まっています。給与業務代行業者、知的財産カウンセラー、ソフトウェア プロバイダ、物流パートナーなど、多岐にわたる外部企業との連携が現代の事業活動には欠かせません。一方で、新しいベンダーとの提携を開始するたびに新しいサイバー リスクが生じますが、非常に多くのケースで対策が不十分とされています。
サードパーティのサイバーセキュリティ リスクは机上の懸念ではなく、業務の混乱、評判の毀損、規制違反を引き起こしかねない全社的な脅威であり、危険性は悪化を続けています。その深刻度にも関わらず、ベンダーのリスク管理を購買部門に任せる組織が依然として多数を占めており、こうした組織では、リスク管理アプローチが年次チェックリストや自己評価のアンケート調査にまで退化することが少なくありません。
このアプローチは時代遅れであるばかりか、危険です。
PwCの調査によると、全社的な正規のプロセスでベンダーのサイバーセキュリティ リスクを評価する企業は31%にすぎません。残りは目隠し状態です。現代では、中堅企業でも数十社から数百社のベンダーとの関係を管理する可能性があり、その多くに機密システムや機密データへの特権アクセスを許可します。よって、現状維持は認められません。
ほぼあらゆる組織にとって、サードパーティ ベンダーのサイバーセキュリティ リスクは存続を左右する脅威です。経営幹部レベルの緊急の対処が求められます。
サードパーティ ベンダー リスクから生じるサイバー脆弱性
サードパーティ ベンダーが抱えるリスクから重大なサイバーセキュリティ問題に発展した事例は、過去にもニュースの見出しを飾り大きな注目を集めました。2020年のSolarWinds攻撃や2013年のTarget社へのサイバー攻撃などの大々的に報道された事件は、サードパーティのリスクに起因するバックドアが企業にどのような被害を与えるかを示す好例です。これらは特別なケースではありません。いかなる業種でも攻撃者はデジタル サプライチェーンの最も脆弱な部分を突き、しばしば甚大な被害をもたらします。
従来の攻撃の標的はITベンダーでしたが、近年では金融サービス プロバイダやクラウド/通信パートナー、さらには電力会社までもが狙われています。直接・間接問わず、企業システムに接続するベンダーも攻撃のターゲットに含まれます。ソフトウェア デベロッパー、OEM、流通業者などがその例ですが、顧客に影響が及ぶ事例も増えています。
侵入に成功した攻撃者は焦りません。ネットワーク上で横方向の移動を行い、顧客レコード、知的財産、資格情報などの機密データを探索します。また、API、ブラウザ プラグイン、更新メカニズムに組み込まれた多数のマルウェアが信頼済みのプロセスを装って旧式の防御を突破します。
ソフトウェア サプライチェーンは特に脆弱です。Enterprise Strategy Groupの調査によると、41%の組織のソフトウェア サプライ チェーンがサードパーティ コードに含まれる新規/未知の脆弱性を悪用したゼロデイ攻撃を受けていました。また、クラウド サービスの設定ミスを悪用した攻撃を経験した組織は40%に達します。
これらは特別なケースではなく、警告です。また、多くのCISOが認識している問題を裏付けています。すなわち、サードパーティにまつわるリスクは単なるサイバーセキュリティの問題ではなく、絶え間ない警戒が要求される全社的な問題なのです。
ベンダーを狙った攻撃の重大な被害
サードパーティへの攻撃は水面下で進行するため、発見した時点で被害が発生していることが少なくありません。
パートナーが1社でも侵害を受ければ、機密データの漏洩や業務の混乱が生じ、長期的なフォレンジック調査、是正、復旧を強いられる可能性があります。ここでの問題は、システムが停止するだけでなく、顧客、パートナー、社会の信頼が失われることです。
規制違反の影響だけでも、信じがたい大きさです。欧州のGDPR、ブラジルのLGPD、米国の医療業界のHIPAAなどのデータ保護フレームワークは脆弱性の起源に関わらず組織に侵害の責任を負わせます。金銭的なペナルティはもとより、長期的に評判が失墜する影響は重大です。
こうしたサードパーティにまつわるリスクの危険性は、組織の成長に応じて危険度が増す点に起因します。新規ベンダーとの提携や企業合併、新規市場への参入の度に、アタックサーフェスが拡大します。パートナーのエコシステムをリアルタイムに可視化できなければ、拡大したアタックサーフェスが死角になるうえ、エクスプロイトの手口も巧妙化しています。
今、何をすべきか
サードパーティにまつわるリスクの高まりに対処するには、手続きに従ったレスポンスだけでは不十分であり、考え方の見直しが求められます。静的監査やベンダーへのアンケート調査、1度しか使用しないコンプライアンス チェックリストといった従来のアプローチは、外部企業との提携を通じてアタックサーフェスが絶えず拡大する現代の環境では通用しません。
求められる改善は以下の通りです。
- ビジネス上の重要性を基にベンダーを分類。サードパーティ ベンダーのリスクは一様ではないため、リスクに応じた水準のサイバーセキュリティを要求するべきです。業務上の重要性とシステムへのアクセス レベルに基づくリスク カテゴリにサプライヤを分類する階層型モデルの導入を推奨します。重要ベンダーについては、アイデンティティの厳格な検証、セグメンテーション、継続的監視など、自社と同じゼロ トラストポリシーの完全な遵守を要求します。リスクが中~低のサプライヤについては基本的な対策の遵守を求めますが、要求はリスクに応じて厳格化します。
- 特定時点でのリスク評価からリアルタイム リスク評価への移行。サードパーティの環境は変化するため、現時点で安全なものが明日も安全とは限りません。変化に適応できるリスク評価が求められます。長年取引のあるベンダーとの関係を定期的に再評価することは、新規ベンダーの精査と同様に重要です。
- ゼロ トラスト原則を全体に要求。ベンダーを含む広範な企業環境全体にゼロ トラスト モデルを適用するべきです。アクセスのセグメント化、全エントリ ポイントでのアイデンティティ検証、異常な振る舞いの監視といった対策をパートナーが実施していない場合、他で防御を固めても当該パートナーが急所になります。
- 自社のポリシー アーキテクチャの遵守をベンダーに求める。パートナーの規定が緩いケースは非常にありがちです。データの扱いからインシデント レスポンスまで、社内のポリシー フレームワークの全面的な遵守をベンダーに要求するべきです。
- 最新の脅威インテリジェンスと自動化を利用。現代ではサードパーティのリスクをリアルタイムに可視化できますが、そのためにはインテリジェント ツールへの投資が必要です。AIと機械学習を利用することで、隠れた脆弱性を検出してエクスプロイトを未然に防止できます。特に、実際のテレメトリと脅威インテリジェンスの継続的な供給によって効果を高められます。
- 脅威インテリジェンスを重要サプライヤとプロアクティブに共有。自社の境界のセキュリティ対策に加えて、エコシステムの総合的なレジリエンスを高めることが必要です。双方向のインテリジェンス共有に少なくとも重要サプライヤを参加させることを推奨します。この取り組みは、エネルギー、医療、小売など、金融サービス分野と比べて共有が進んでいない業種で特に重要です。ベンダーで発生したセキュリティ侵害は自社のセキュリティ侵害と同義なのです。
- エコシステム全体の責任を果たす。サードパーティは単なるビジネス相手ではなく、デジタル境界の延長線です。その恩恵には責任が伴います。調達ライフサイクルの一貫で、後付けではない継続的なセキュリティ監視を実施することが求められます。
つまるところ、問題はベンダーのリスクの有無ではなく、いかに素早く高リスクなベンダーを特定できるか、そして、リスクにどう対処するかです。規制当局の監視が厳しさを増し、サイバー攻撃が巧妙化する環境では、推測や暗黙の信頼が入り込む余地はありません。
サードパーティのリスクに対するセキュリティ水準の引き上げは、今後の侵害を防ぐだけでなく、築き上げたビジネスと代えがたい信頼を守ることに繋がります。
著者の見解に関心をお持ちの場合は、Perspectivesの関連記事をご参照ください。
1「How SOC reporting can help assess cybersecurity risk management in third-party relationships—and beyond」、PwC、2022年。
2The growing complexity of securing the software supply chain, Enterprise Strategy Group、2024年5月
