サードパーティリスク管理 (TPRM) とは?

サードパーティはビジネスの成功にとって重要な存在ですが、様々な形でリスクを呼び込む可能性があります。

サードパーティと連携すると、ビジネスにリスクが生じる可能性があります。サードパーティが機密データにアクセスできる場合は、セキュリティリスクが生じる可能性があり、サードパーティがビジネスに不可欠なコンポーネントやサービスを提供する場合は、運用リスクが発生する可能性があるなどです。サードパーティリスク管理により、組織はサードパーティによってもたらされるリスクを監視・評価して、組織で設定したしきい値を超える箇所を特定できます。これにより、リスク情報に基づいた意思決定を行い、ベンダーがもたらすリスクを許容可能なレベルまで抑制することができます。

サードパーティは、ビジネスを成功させるうえでの重要なカギです。あらゆる規模の組織が、イノベーション、成長、デジタルトランスフォーメーションをサードパーティに依存するようになりつつあります。

ただし、サードパーティに強く依存することはリスクを伴う可能性があります。サードパーティのリスク対応状況は、サードパーティを利用する企業のリスク対応状況や、レジリエンス、評判にとってきわめて重要です。サードパーティのインシデントに対処するのは非常にコストがかかり、かつ困難であるだけでなく、規制措置、評判の低下、収益の損失などの結果を招く恐れがあります。サードパーティは、組織が保護され、安全であることを確認するために、継続的なリスク評価によって慎重に検査する必要があります。

これまでのベンダーリスク管理は、電子メール、スプレッドシート、サイロ化されたベンダーのリスク管理ツールなどを使用した手動プロセスによって行われており、時間がかかり、エラーが発生しやすいものでした。今やこのようなプロセスとツールではまったく不十分です。これではツールもチームも、増え続けるサードパーティに対処することはできません。最新のソリューションや包括的なソリューションを導入していない企業が直面する一般的な課題には次のものがあります。

  • 手動プロセス:サードパーティを監視する上で効率性が低く、問題を発見し緩和するのに時間がかかる。
  • 拡張性の欠如:拡張性のないツールを使うと、サードパーティ管理の変化のペースについていくことができず、リスクが増大する可能性がある。
  • サイロ化:サイロがあまりに多いと、組織全体にわたるリスク情報にアクセスすることが難しくなる場合がある。
  • 脈絡のなさ:エンタープライズコンテキストがないため、ベンダーのライフサイクルを通してサードパーティリスクの優先順位を付ける、あるいは要件が変わった場合にサードパーティリスクの優先順位を付けることが難しくなる。

サードパーティを選択する際に考慮すべき重要な検討事項を以下に示します。検討結果によってサードパーティがビジネスにもたらすリスクのレベルが分かります。

  • どんなタイプのデータにアクセスするか?どんなタイプのアクセス権を付与するか?
  • そのサードパーティは、問題が生じる可能性のあるフォースパーティと提携しているか?
  • そのサードパーティは、情勢が不安定な地域に存在しているか?
  • そのサードパーティは、必要不可欠な製品やサービスを提供しているか?もしそうなら、代替ベンダーを確保しておく必要があるか?
  • そのサードパーティは過去にセキュリティに関する問題を経験しているか?彼らのベストプラクティスとはどのようなものか (基本的なウイルス予防策、適用している SLA、違反の過去など)?
  • そのサードパーティは、事業継続性計画を用意しているか?
  • そのサードパーティは、あなたの組織の規制に従っているか?
  • そのサードパーティの財務状況は?

戦略的リスク

サードパーティや組織が決定事項や目的に沿った行動を取らないと、戦略が脅かされる可能性があります。戦略的リスクがコンプライアンスの欠如や最終的な財務リスクにつながらないことを確認するためにサードパーティを監視することが重要です。

各種サードパーティリスクを示す図

評判リスク

企業の評判が、その企業が提携しているサードパーティの評判によって決まることがあります。あるサードパーティに評判やデータ侵害の問題がある場合、そのサードパーティと提携している企業に対する顧客の信頼が低下してしまう可能性があります。

運用リスク

運用をサードパーティのアプリケーションやサービスに依存していることがあり、その場合、サードパーティがサイバー攻撃の対象となったり、サービスで過失が生じたりして、その結果運用の中断、データの損失、プライバシー侵害などが発生するというリスクが常にあります。フォースパーティが存在する場合も、同じ懸念が当てはまります。

トランザクションリスク

サードパーティによる製品やサービスの提供に問題があり、それが原因で、組織内でトランザクションの問題が発生する場合があります。

コンプライアンスリスク

各種基準で、コンプライアンスの要件としてサードパーティリスクが徐々に取り入れられつつあります。そのため、コンプライアンスのリスク許容度をサードパーティにも拡張する必要があります。

情報セキュリティリスク

データの形式が何であれ、サードパーティにデータの操作を許可すると、情報への不正アクセス、混乱、変更、記録、検査、破壊など、ある程度のリスクが発生します。

財務的リスク

サプライチェーンの混乱を避けるために、財務的に健全なサードパーティと提携することが重要です。また、財務的な問題を抱えているサードパーティは、セキュリティ対策を重視しない可能性があり、不必要なリスクにさらされている場合があります。

サードパーティリスク管理を実現するまでには重要なステップがいくつかあります。

オンボーディング

サードパーティとの連携を検討する際には、そのサードパーティを正式にオンボーディングする前に、意思決定プロセスの一環として、初期リスク評価を行うことが大切です。サイバーセキュリティ格付けを使用してそのサードパーティのセキュリティ態勢を評価するなど、外部データを使用してサードパーティリスクの全体像を把握します。これにより、知らずに望ましくないリスクを引き継いでしまう可能性が低くなります。

階層

理想的にはオンボーディングの前や、サードパーティをオンボーディングしたらすぐに実行する初期リスク評価の一環として、階層評価を実行する必要があります。この評価は社内で実行され、その結果位置づけられた階層によって、そのサードパーティが将来受ける評価のタイプと頻度が決まります。階層 1、つまり必要不可欠なベンダーが最上位の階層です。定期的な評価を必要としない層にいるベンダーもあります (芝刈り業者のサードパーティなど)。セキュリティ格付けプロバイダーから取得した外部データを使用して、必要に応じて階層レベルを調整できます。

評価

上位の階層のサードパーティは、定期的にリスク評価を受ける必要があります。この評価は、サードパーティによってもたらされるリスクの領域に基づいて行われる必要があります。たとえば、コンポーネントを製造するベンダーは、従業員、健康、安全に関する質問を受けるかもしれませんが、コンサルティング会社は受けないかもしれません。しかし、セキュリティ体制と財務的健全性に関する質問は、すべてのサードパーティが受けます。これらの評価の頻度は階層によって決まり、最も高い階層が最も頻繁に評価を受けます。

知見の生成

評価結果が返される時に、満足できない回答や不完全な回答が見つかるかもしれません。さらにこの時点で、サードパーティの財務・セキュリティ対応状況に関して収集された客観的な外部データに基づいて、問題がないか評価する必要があります。その後、問題や調査結果をサードパーティに戻して対応してもらうことができます。

課題の修正

評価が進まず、作業が生じ、問題に対応し、必要に応じて証拠が提供される期間があるかもしれません。将来参照するために、すべての通信をキャプチャする必要があります。最終的に、一部のリスクは受け入れるかもしれません。

リスクの報告

リスクを特定、分析、修正した後、必要な関係者にそれを報告します。すべての利害関係者が、自分たちが望むレベルの可視性が得られる必要があります。

モニター

前述のとおり、サードパーティは継続的に評価する必要があります。理想的には、リスクやパフォーマンスの変化を監視することによって評価します。評価の頻度を上げることも、継続的に更新されるサイバーセキュリティ格付けなどの外部データフィードを通じて行うこともできます。変化が生じると、問題、評価、階層の変更が自動的にトリガーされます。すべてのサードパーティが義務を果たしており、組織にとって望ましくないリスクをもたらしていないことを確認するために、継続的に監視することが重要です。

廃止

あらゆる組織は、サードパーティとの関係を終わらせ、保存すべきではない情報がすべて永久に削除されることを保証するための公式プロセスを用意する必要があります。

  • すべてのサードパーティ関係の完全な可視性
  • 公式の契約締結前評価とデューデリジェンス
  • 標準化されたリスク緩和条項の使用
  • リスクベースの監視と監督
  • 関係の終了時における公式のオフボーディング

  • ベンダー管理のライフサイクルのあらゆる側面をデジタル化・統合する。リスクの評価は初期の段階で行う必要がある。
  • ベンダーを一元管理し、サードパーティとコラボレーションしながら、すべてのコラボレーションの監査記録を維持する。
  • サードパーティのリスクとパフォーマンスの理解と可視性を得て、維持する。子会社 (あるいはフォースパーティ) も含む。
  • リスクが発生する箇所に対するきめ細かい評価方法を作成する。
  • リスクを比較し、優先順位付けし、通知するためのリスクスコアを作成する。
  • より多くのことを達成すると同時にコストを抑制するために機械学習と自動システムを利用する。
  • レジリエンス計画を作成し、ベンダー管理システムのそれぞれの面で計画を立てる。
  • 他のアプリケーション (サイバーセキュリティ評価のためのデータフィードなど) やサードパーティのシステムと統合する。

  • カスタマーエクスペリエンスの向上
  • 全般的なセキュリティ対応状況の改善
  • 運用効率の向上
  • 顧客獲得率と維持率の改善
  • 顧客からの信用の向上
  • 利益、予測、収益性の向上
  • 期待通りの一貫したサードパーティのパフォーマンス
  • 組織の目標 (戦略的なビジネス目標およびプロジェクトレベルの目標) を達成する能力の向上
  • 業務中断の可能性の最小化
  • 中断からの回復の迅速化

ServiceNow Governance, Risk, and Compliance を始めましょう

ServiceNow でリスクとレジリエンスをリアルタイムで管理