本ブログでは、GRC (ガバナンス・リスク・コンプライアンス) やサイバーセキュリティ関連の国内外の規制の中からピックアップした要件やガイドライン等について解説するとともに、OneTrustのソリューションについてご紹介しています。

---

はじめに

前回の記事では、EUのサイバーセキュリティ規制のサードパーティに関わる要件を中心に解説しましたが、今回はその続きです。

前回は、2024年10月以降にEUにおいて発効または適用開始された下記EU法ののそれぞれの概要、主要となる要件、そしてサプライチェーンおよびサードパーティ関連の要件のポイントについて解説しています。

今回のブログでは、サードパーティ経由のサイバーセキュリティリスクおよびそれらのリスク管理における課題について解説した後に、OneTrustのソリューションであるサードパーティリスク管理の特長的な機能についても一部ご紹介します。

---

サードパーティ経由のサイバーセキュリティリスク

1. クラウドサービスプロバイダー経由の情報漏洩

企業がクラウドサービスを利用する際、サードパーティのクラウドサービスプロバイダーがセキュリティ上の不備を抱えている場合、企業の機密情報や顧客データが漏洩するリスクがあります。例えば、設定ミスによりアクセス制限が適切に設定されておらず、外部の攻撃者が機密情報にアクセスできる状態になることが考えられます。

2. アウトソーシング業務のセキュリティ不備

企業が特定の業務（例えば、カスタマーサポートやITサポートなど）を外部のサードパーティにアウトソーシングしている場合、第三者の従業員が機密データにアクセスすることになります。これらのサードパーティが十分なセキュリティ対策を講じていないと、情報漏洩が発生するリスクが考えられます。

3. サプライチェーンにおける第三者のセキュリティ脆弱性

サプライチェーンにおいて、部品や製品を提供するサプライヤーがサイバーセキュリティ対策を講じていない場合、サプライチェーンを通じて情報漏洩が発生する可能性があります。例えば、製品に組み込まれたセキュリティの脆弱性が悪用され、企業のシステムにアクセスされることが考えられます。

4. ソフトウェアベンダー経由の情報漏洩

企業が使用しているソフトウェアにサードパーティの開発者やベンダーが関わっている場合、そのソフトウェアの脆弱性やセキュリティの不備を悪用されることがあります。特に、ベンダーのシステムに対する攻撃が企業に波及し、情報漏洩を引き起こすことが考えられます。

5. 第三者による不正アクセス

企業のサードパーティとの業務連携により、第三者が企業のシステムにアクセスすることができます。このようなアクセスが悪用され、情報漏洩が発生するケースがあります。特に、アクセス権限が適切に管理されていない場合、情報漏洩のリスクが高まります。

6. 電子メールの誤送信

サードパーティとのコミュニケーションにおいて、企業の従業員が機密情報を誤って送信してしまうケースもあります。特に、外部のメールシステムやファイル共有サービスを使用している場合、セキュリティが甘く、情報が漏洩するリスクが考えられます。

7. サードパーティのシステムへの依存によるデータ漏洩

サードパーティが提供するシステムやツールに依存している企業が、そのシステムのセキュリティ脆弱性を突かれて情報漏洩を引き起こすケースです。例えば、データ管理を外部に委託している企業が、そのシステムに侵入されることによって機密データが漏洩することが考えられます。

---

サードパーティリスク管理における主要な課題

1. サプライチェーン全体の可視化とリスク評価の難しさ

EUのサイバーセキュリティ規制、例えば、NIS2指令やDORAにおいて、企業はサプライチェーン全体を可視化し、リスク評価を実施することが求められています。多くの企業は、サプライチェーンの全貌を把握していないため、リスクの特定が遅れる可能性があります。

2. サプライヤーのサイバーセキュリティ基準の確立と監視

サプライヤーや外部パートナーのサイバーセキュリティ基準が不十分である場合、企業のセキュリティにも重大な影響を及ぼす可能性があります。そのため、企業はサプライヤーのセキュリティ基準を確認し、定期的に監視する責任があります。

3. インシデント対応計画と情報共有の体制強化

サイバーセキュリティインシデントが発生した場合、サプライチェーン全体での迅速な対応が不可欠です。例えば、EUのサイバーセキュリティ規制では企業がインシデント発生時に適切な対応を行い、規制当局への報告義務を履行することを求めています。サプライチェーン内の情報共有が不十分だと、インシデントの拡大を招く可能性があります。

4. 第三者サービスプロバイダーの管理と監督

サードパーティのサービスプロバイダー、特にクラウドサービスやITインフラストラクチャーの提供者が関与する場合、これらのサービスのセキュリティ脆弱性が企業全体のリスクとなります。このことから、重要なサードパーティに対する監督やリスク管理の実施は不可欠であると考えられます。

5. 規制遵守と報告義務の確実な履行

EUのサイバーセキュリティ規制（特にNIS2指令やDORA）は、企業に対して規制当局への定期的な報告や、重大なインシデントの通知義務を課しています。サプライチェーンに関わるインシデントも、これらの規制に基づいて報告しなければならないため、監査やコンプライアンス対応の体制が不十分であると、規制違反となり得ます。

---

OneTrustのソリューション

前章で解説した通り、サードパーティ経由のリスク、特にサイバーセキュリティ関連のリスクは、サプライチェーンの複雑化によりますます高度化している現状です。また、これらのリスクへの対策を迅速に行わなかった結果として、企業の安定性と信頼性に深刻な影響を与える可能性があります。

OneTrustのサードパーティリスク管理 (TPRM) は、企業がサードパーティとの取引に伴うリスクを効果的に管理し、規制遵守を確保することをサポートする包括的なソリューションです。サードパーティのリスク管理ライフサイクルを合理化し、リスクベースのアプローチが可能です。

OneTrust のサードパーティリスク管理 (TPRM) の特長的な機能として、新規ベンダーの登録から既存ベンダーの登録解除、さらに契約中のベンダーの定期的なモニタリングなどお客様の業務フローにあわせた複雑なワークフローの設定や自動化ルールの設定することができます。

業務にあわせた複雑なワークフローを作成することが可能

申請者が新規ベンダー申請を起票後、複数の外部システムとの連携やスコアリングにより自動的にリスクを特定・検出する段階をフローに追加したり、検出されたリスクレベルに応じて、調達部門やコンプライアンス部門など該当部署へリスク評価依頼を送信する段階をフローに組み込むことも可能です。

リスク評価の自動化により指定したタイミングで評価を実施可能

契約中のベンダーの定期的なモニタリングを効率化するために、自動化ルールを設定し、指定した頻度でベンダーを対象に評価を送信することが可能です。
また、上のフロー図のように自動化ルールにより社内スコアリングまたは外部システムとの連携などから得られる情報からリスクを検出し、該当部門へベンダーリスク評価依頼を送信することが可能です。

効果的なリスク管理が可能

情報リスクやコンプライアンスリスクを可視化し、効果的にリスクを管理することが可能です。さらに、サードパーティエクスチェンジの機能では、ベンダーに問題が発生した場合、外部データソースから必要な情報を取得し、新しいリスクの発生に際して、アクションをトリガーする条件分岐のワークフローを構築することが可能です。

複数のベンダーを一元管理可能

複数のベンダーの取引状況、ベンダーが提供する製品やサービスの内容などの一般情報からベンダーに関連づけられているリスクレベルなどの情報をインベントリ（台帳）機能により一元管理することが可能です。

---

おわりに

EUのサイバーセキュリティ規制に遵守し、サードパーティリスクを効果的に管理することは、企業のセキュリティ強化だけでなく、業務の継続性と信頼性を高めるためにも不可欠です。企業は、サプライチェーン全体を可視化し、リスク評価・管理体制を強化するとともに、サプライヤーや外部パートナーなどとの協力体制を築き、インシデント対応や規制遵守の仕組みを確立することが求められます。企業にとっては、規制対応とビジネスの効率化を両立させることが今後の課題と考えられます。OneTrustのサードパーティリスク管理 (TPRM)は、これらの課題に対する包括的なソリューションをご提供し、企業のデジタルレジリエンス向上をご支援します。

詳細な製品情報や導入事例については、お気軽にお問い合わせください。