- クラウド活用/セキュリティ/アシュアード
サプライチェーンリスク評価の
標準化が描く新たな世界観
SaaSや業務委託先を経由した業務における情報漏えいやサイバー攻撃のリスクが大きな経営課題となっている。セキュリティ上の新たな脅威が次々と現れる中で、最新のトレンドを踏まえてセキュリティ評価基準をアップデートし、適切にリスク評価を行うことは容易ではない。これに対しアシュアードが提供しているのが、委託先へのチェックシートの提示から、回答の受取り、専任チームによる評価レポートの作成に至る一連のプロセスを支援するソリューションだ。(聞き手:日経BP総合研究所 上席研究員 渡辺 享靖)
委託先経由での業務推進をとりまく
セキュリティリスクが拡大
セキュリティエキスパート
植木 雄哉 氏
渡辺 今、企業の間で、セキュリティ関連のホットなトピックスの1つとなっているのが、委託先を通した情報漏えいが増えてきているということです。そのあたりの脅威の動向をどうご覧になっていますか。
植木 製造業におけるサプライチェーンを例にとれば、当然、メーカーはサプライヤーから原材料なり部品を仕入れてものづくりを行います。それら委託先がランサムウェアなどに感染してしまうと、メーカーとしては、情報漏えいはもちろん、そもそも部材が入手できず、ものづくりが行えない、つまりビジネスが滞ってしまうという事態に陥るリスクを抱えているものといえます。攻撃者にしてみれば、比較的大手でセキュリティ対策もしっかり行われているメーカーに比べ、対策に割ける人的リソースも手薄で傾向的にセキュリティ管理水準の低い中小の委託先を攻撃したほうが、より合理的であるという見方もできます。さらに、これら委託先は1社を相手にビジネスをしているわけではなく、複数社と取引を行っているので、攻撃の効果としてもそれだけ大きなものが期待できるというわけです。
チェックシートでの評価をめぐる
作業負荷増大が切実な課題に
渡辺 そうしたサプライチェーンをめぐるリスク管理の重要性は、すでに10年以上前から取り沙汰されてきました。その間、例えば米国国立標準技術研究所がサイバーリスクマネジメントフレームワーク「NIST SP 800-161r1」においてプラクティスを提示しているほか、わが国でも経済産業省がサプライチェーン強化に向けたセキュリティ対策評価制度の構築に取り組んできているという経緯がありますね。
植木 おっしゃる通りです。一般にサプライチェーンのセキュリティリスク評価を行う手法には、「外部公開情報を用いた評価(OSINT)」と「チェックシートでの評価」が存在します。しかし、例えば、内部サーバにおけるマルウェア対策やVPN機器における対策状況などはOSINTでは見えてこないため、委託元が委託先に対してチェックシートを提出して、それに答えてもらうという方法を併用しているケースが多いようです。
ただ、すでに述べたように委託先は1社を相手に取引をしているわけではなく、中には数百社、あるいは1,000社以上の委託元と取引しているケースもあります。そうすると、取引先が100社あれば、100パターンのチェックシートの一つひとつを確認しなければならず、業務負荷も必然的に大きくなります。一方の委託元にしても、日々移り変わるサイバーリスクの状況や技術的動向を捉えてチェックシートを随時更新していく必要があり、大きな労力を要するという問題があります。
委託先とのチェックシートのやり取り
評価にかかわる一連の作業を代行
渡辺 アシュアードでは、セキュリティ評価プラットフォーム「Assured」の運用により、チェックシートの煩雑な運用をめぐる課題の解消を目指しています。そこで提供される具体的なサービスについて教えてください。
植木 当社ではもともとクラウドサービスのリスク評価をメインのサービスとして提供していました。これに対し先ごろ、今回のテーマであるサプライヤーなどの委託先、いわゆるサードパーティーに向けた評価サービスを発表しました。
端的にいってこのサービスは、委託元から委託先に対してセキュリティチェックシートを提示し、それに対する回答を得て、セキュリティリスクを評価してレポートするという一連のプロセスを当社が代行するというもの。約70の設問からなるチェックシートの内容は、ISO27001など、複数の国内外のガイドラインやフレームワークを踏まえて標準化したもので、各社が同じ項目で評価されるという新たな世界観の実現を目指しています。
渡辺 委託先から戻されたチェックシートは、セキュリティに精通したアシュアードの専任チームが精査し、どこにどういうリスクがあるのかを示してくれるわけですね。
植木 はい。レポートでは、100点満点のリスクスコアによる評価に加えて、専任チームが詳細なコメントで、リスクの内容をわかりやすく説明します。例えば、ある設問に対して、外部と内部できちんとアクセス制御を行っていると答えているのに、別の設問に対しては、ファイアウォールを導入していないと答えているような場合、それは一般的にはそう多くない構成であり、回答のミスなどが疑われます。そうした項目間の矛盾なども、専任チームの目を通して必ずチェックし、回答内容が委託元の求める正当性を担保していなければ、差し戻しをさせていただいて、やり直すという対応もすべて当社が行います。
渡辺 また、このサービスで得られた委託先の評価にまつわる情報は、データベース化されて公開されて共有されるという仕組みも用意されていますね。
植木 その通りです。もちろん、どこに対してどのようなかたちで情報を公開するかは、委託先の側でコントロールができることが前提ですが、仮にデータベースとして公開するとなると、委託先のほうでも、当然、虚偽や誇張など不正な回答がしづらいという制約が働くことになります。その点も、このサービスの特筆すべきメリットの1つだといえます。
渡辺 特に委託先とのチェックシートのやりとりに、特に業務部門がこれまでのように多大な労力を割く必要がなくなる点は、このサービスがもたらす重要な成果ですね。情報漏えい対策といったセキュリティ面に加えて、ビジネス継続性の担保にも貢献するサービスとして大いに注目されますね。