(6)財務リスク

このリスクは、サードパーティベンダーが、組織が設定した財務実績要件を満たせない場合に発生し、過剰なコストと収益の損失という2つの主な形態があります。

過剰なコストは、組織の財務の健全性に大きな影響を与え、収益性の低下や運営コストの増加につながる可能性があります。対処しなければ、企業の成長を妨げ、過剰債務につながる可能性があります。

逸失利益の管理は、どのベンダーが組織の収益を生み出す活動に直接影響を及ぼしているかを特定することから始まります。ベンダーやシステムに問題があれば、収益の遅延や損失につながる可能性があるため、そのリスクを監視するシステムを導入することが重要です。

これらのベンダーパフォーマンスと信頼性を定期的に評価することは、財務リスクを最小限に抑える上で非常に重要です。

(7)オペレーショナルリスク

このリスクは、ベンダープロセスが停止した場合に発生します。サードパーティの業務は組織の業務と密接に関わっているため、ベンダーが約束通りにサービスを提供できない場合、組織は通常、日常業務を遂行できなくなります。オペレーショナルリスクを抑制するために、組織は事業継続計画を策定し、ベンダーが停止した場合でも業務を継続できるようにする必要があります。

重要なベンダーを特定し、そのトラブルが業務に及ぼす潜在的な影響を評価することは不可欠です。依存関係を理解することで、リスクを軽減するための的を絞った戦略を策定することができます。事業継続計画の定期的なテストと更新は、実際のシナリオにおける有効性を確保するために重要です。

(8)戦略的リスク {#ID10

このリスクは、ベンダーが組織の戦略目標に合わないビジネス上の意思決定を行った場合に発生します。戦略的リスクは、コンプライアンスリスクや風評リスクに影響を及ぼす可能性があり、企業全体の価値を決定する要因になることも少なくありません。重要業績評価指標(KPI)を設定することで、ベンダーの業務やプロセスに関する貴重なインサイトが得られるため、組織は戦略的リスクを効果的に監視することができます。

さらに、KPI の定期的な見直しと更新は、KPI が常に適切であり、企業の進化する戦略目標に合致していることを確認するために大切です。戦略的リスクを効果的に管理するには、現在のベンダーのパフォーマンスを監視するだけでなく、ベンダーの戦略の変化が将来の事業成果にどのような影響を与えるかを予測する必要があります。

ベンダーリスクを監視・管理するには?

ベンダーがビジネスにもたらすリスクの種類を特定したら、次のステップは、リスクを監視・管理できるシステムを構築することです。

以下、組織でサードパーティリスクを監視するために実施できる3つのプロセスを紹介しましょう。

サードパーティリスク評価とセキュリティアンケート

サードパーティリスク評価では、ベンダーアンケートを使用して、個々のベンダーが自社のビジネスに与えるリスクのレベルを判断します。リスク評価を効果的に行うには、評価パラメータをリスクの閾値に合わせる必要があります。

これにより、事業運営に関連するベンダーのリスクをより正確に評価する質問票を作成することができます。また、評価作成時に脅威インテリジェンスを使用することも推奨されます。これにより、サードパーティのエコシステムに対する可視性が向上し、脅威の優先順位付けに役立ちます。

このようなベンダーアンケートの徹底は、潜在的なリスクを正確に把握する上で極めて重要です。サイバーセキュリティ、コンプライアンス、業務の安定性、財務の健全性など、さまざまな分野をカバーする必要があります。サードパーティリスク評価とベンダーアンケートは、進化するリスクとビジネス環境を反映するために定期的に更新されるツールであるべきです。

このようなプロアクティブなアプローチは、リスクの早期特定と軽減に役立ち、深刻な問題に発展する前にリスクを確実に把握することができます。

デューデリジェンス

これは、サードパーティのサイバーリスクを特定し、是正するプロセスです。買収者がベンダーから引き継ぐ可能性のあるサイバーリスクを認識できるように、通常、M&Aの段階で実施されます。

組織はセキュリティデータを使用して、ベンダーのサイバーセキュリティシステムと ITインフラストラクチャに関する知見を得ることができます。ベンダーのリスクが顕在化したときに組織が対処できるように、デューデリジェンスを継続的に実施することが重要です。

ベンダーのポリシー、手順、過去のインシデントを包括的にレビューし、ベンダーのサイバーセキュリティ態勢を評価します。ベンダーのリスクレベルを評価するには、過去の侵害報告、セキュリティ監査、コンプライアンス認証などのセキュリティデータを活用します。

デューデリジェンスは、進化するサイバー脅威の状況に対応するために、組織全体のリスク管理戦略に組み込まれるべき継続的なプロセスです。組織は脆弱性を積極的に特定し、ベンダーに関連する潜在的なサイバーリスクを軽減するための対策を実施できるようになります。

継続的なリスクモニタリング

サードパーティベンダーのリスクマネジメントプログラムに不可欠な要素です。監視するセキュリティ指標を適切に決定することで、ベンダーのリスクが問題になる前に特定する能力を向上させることができます。継続的なリスク監視によって、ベンダーの活動や潜在的なセキュリティインシデントをリアルタイムで把握し、リスクを特定して迅速に対処できるようになります。

継続的なモニタリングでは、セキュリティ指標に照らしてベンダーのパフォーマンスを評価するとともに、ベンダーのリスクプロファイルに影響を与える可能性のある業務上の変化を追跡する必要があります。また、継続的なリスク監視をベンダー管理プログラムに組み込むことで、企業は潜在的なセキュリティ侵害に対する強固な防御を維持し、規制要件への継続的なコンプライアンスを確保することができます。

最後に

ベンダーリスクを把握し、ベンダーリスクの監視・管理を適切に徹底することで、組織は、ベンダーと協力する上で直面する可能性のある風評被害、コンプライアンス、または業務上の損害を回避することができ、サードパーティとの関係から発生する可能性のあるセキュリティ侵害を最小限に抑えることが可能になります。

著者プロフィール


藤本 大(SecurityScorecard株式会社 日本法人代表取締役社長)


1996年に日本電信電話株式会社に入社し、東日本電信電話株式会社、NTTコミュニケーションズ株式会社で法人営業に従事。 製造業、サービス業、金融業等の大手日本企業や外資企業を担当し、ネットワークサービスのみならず様々なセキュリティサービスを提供。 2017年にファイア・アイ株式会社に入社、パートナー営業部長として主に大手通信事業者とのパートナービジネスの拡大に貢献。 2020年7月1日にSecurityScorecardに入社し、2021年6月24日より現職。 1971年長崎県長崎市生まれ。青山学院大学国際政治経済学部卒業。