ステップ2：サプライチェーン全体のリスクを継続的に評価しインシデントに対応する

　サプライチェーン全体に影響を及ぼすサイバー攻撃が相次ぐ中、もはや一度限りのリスク評価だけでは不十分です。攻撃者は日々手法を進化させ、狙いを変えてきます。こうした脅威に対抗するには、変化し続けるリスクに継続的に目を向け、評価と対応を繰り返す体制が不可欠です。

　リスク評価とは「組織に悪影響を及ぼす可能性のある事象を特定し、発生確率やビジネスへの影響度を分析するプロセス」を指します。組織にあって、どのリスクを、どの程度まで許容できるのかの判断を可能にし、財務をはじめ、ビジネスのさまざまな分野における意思決定の指針になります。

　特にサイバーセキュリティにおけるリスク評価は、デジタル資産や機密データを保護する上で極めて重要な役割を果たします。組織のリーダーは、情報セキュリティに関する管理プログラムを策定するに当たり、リスク評価の方法論を明確に取り入れ、サイバー攻撃による経済的損失だけでなく、ビジネス全体に及ぼす影響を視野に入れて備える必要があります。

サードパーティなどを含めたサプライチェーン全体のリスク評価が必要

　特に今後の企業の持続的な競争力を左右するとみられるのが、自身での管理が及ばないサードパーティやフォースパーティを含めたサプライチェーン全体を見据えたリスク管理です。

　ここでのサードパーティとは、外部ベンダーやサプライヤー、サービスプロバイダーなどです。これらベンダーやサービスプロバイダーは現代のビジネスに不可欠な存在です。ですが同時に、データ侵害やコンプライアンス違反などのデジタルリスクをもたらします。

　実際、自動車販売店向けソフトウェアを開発・販売する米CDK Globalを標的にしたランサムウェア攻撃では、同社製ソフトウェアを利用していた北米の1万5000を超える自動車ディーラーが業務停止に追い込まれました。直接の標的はCDK Globalだったとしても、その被害は、同社の顧客である多数の企業にまで広がったのです。

　この事例のように、たった1社で起こったセキュリティ障害が、ソフトウェアのサプライチェーン全体に波及していきます。リスク管理をサードパーティに任せ切りにし自社で管理することなく、サードパーティに依存し続けることの危うさを如実に示しています。

　昨今、サプライチェーンを狙った攻撃は増加傾向にあります。加えてサイバー脅威は絶えず変化しており、攻撃の頻度や影響度は着実に増大しています。不十分なリスク管理は組織にデータ流出だけでなく、金銭的損失や企業ブランドの毀損といった長期的な影響に波及する恐れがあります。

　それだけに継続的な監視とリアルタイムの対応が不可欠なのです。サードパーティのセキュリティ対策状況を常に把握し、変化に即応できる体制を整備することで、安全でレジリエント（回復力のある）なサプライチェーンの維持を可能にします。リスク管理は、一度きりの取り組みではなく、継続的に実施しなければなりません。

　サードパーティに起因するサイバーセキュリティリスクがサードパーティリスクです。サイバー攻撃や、データ侵害、規制違反、金融不安などが含まれ、いずれも組織のセキュリティ体制やコンプライアンスに深刻な影響を及ぼす可能性があります。

　このようなサイバーリスクに備えるためには、サードパーティリスクの体系的な管理が欠かさません。外部パートナーに起因する潜在的なリスクを早期に検知・対応できれば企業は、より強固なセキュリティ基盤を築けます。ライフサイクル全体にわたってベンダーとの関係を継続的に可視化すれば相互運用状況をリアルタイムに把握でき、機密情報を保護し、継続的な運用を確保できます。規制遵守の徹底も図れます。