草榴社区

サードパーティーの製品やサービスは事业の运営に不可欠です。组织はコスト削减によるソリューションの最适化に依存するところが大きく、そのために外部エキスパートが必要になります。サードパーティーの组织は製品／サービスの迅速なデリバリ、コンプライアンス要件の遵守、组织の全体的な业绩向上を约束します。

さまざまな业务の运営にサードパーティーを导入する理由として以下が挙げられます。

• 内部/外部で使用するツールやアプリケーションの提供
• ソフトウェアコンポーネントに関するサービスの実施
• 他のツールやサービスに関する専门的なコンサルティング
• 顾客向けプロフェッショナルサービスの一环
• 监査
• コンプライアンス目标の达成

サードパーティー?リスクとは

事业の运営に自社以外の组织が関与すると、胁威やリスクにさらされる机会が拡大します。サードパーティーの関与から生じる胁威に対して、公司はその资产に対するリスク管理アプローチを採用する必要があります。

このリスクを缓和しなければ、以下のような结果を招きかねません。

• ブランド、製品、サービスの评判失坠
• 机密データや个人识别データの消失
• 顾客の信頼や顾客との関係の丧失（侵害が生じた场合など）
• アウトソーシング?インフラストラクチャに起因する重要なシステムやネットワークリソースのダウンタイム
• サードパーティーによるシステム、ツール、アプリケーション、データへの不正アクセス
• 知的财产、営业秘密、着作権などの漏えいまたは丧失

サードパーティー?リスクを缓和する最适な方法

サードパーティー组织に対するリスク缓和戦略の策定は非常に手间のかかる仕事です。リスクの特定／缓和には実绩ある自动化されたリスク管理プログラムが必要です。このプログラムは内部のアプリケーション/サービス、および外部のツール/サービスの両方に利用できます。

次に、サードパーティー?リスクを特定、评価、缓和するためのアプローチを検讨していきましょう。

• 特定：リスクはサードパーティーの関与のあらゆるレベルで発见される可能性があります。これにはオンプレミスで利用される、または外部ネットワークでホストされるすべてのツールやサービスを考虑する必要があります。
• 评価：リスクを特定したら、评価を行って影响を慎重に査定し、考虑します。リスク格付けシステムでリスクの优先顺位付けを行うことができます。
• 缓和：评価したリスクと胁威はコスト／时间の面で効果的な方法で缓和する必要があります。また、オープンなチャネルを通じてリスクをサードパーティーに伝え、是正する必要があります。

ステップ1：サードパーティー?セキュリティ?リスクを特定する

业务の范囲に応じて、サードパーティーのツールやサービスはさまざまなシステム、リソース、ネットワーク、アプライアンス、アプリケーションデータ（保存データまたは移动中のデータ）へのアクセスを许可されます。アクセスにはリスクの可能性が伴います。このような场合のセキュリティリスクの判定は厄介です。

サードパーティーの関与から生じる组织のセキュリティリスクを特定するために推奨されるベストプラクティスの概要を以下に示します。

• 胁威モデリングを実施してリスクを把握し、サードパーティー?ツールとのやりとりがある重要资产を解析する。
• すべてのサードパーティー?ツールおよびサービスのエントリーポイントとエグジットポイントを解析する。
• ペネトレーションテストとソースコード解析を行って、サードパーティー?ツールおよびアプリケーションのリスクを分类する。
• サードパーティーとのすべてのオンサイトの関係とやりとり（コンサルティングなど）をレビューする。
• サードパーティーが提供するサービスのレッドチームアセスメントを行って、その他のリスクを诊断する。
• 使用するサードパーティーのツールやサービスに関して公开されているすべての未解决の脆弱性を考虑する。
   

ステップ2：サードパーティー?セキュリティ?リスクを评価する

リスクを包括的に缓和するには、评価のステップが重要です。このステップでは、リスクに优先顺位を付けて精査し、时间?コスト面で効果的な方法で缓和します。リスク管理プログラムの成果をあげるには、各セキュリティリスクの（事业への影响に基づく）评価を考虑することが不可欠です。

サードパーティー?セキュリティ?リスクを评価する最适な方法を以下に示します。

• クリティカルなサードパーティー?ツール/サービスの评価に优先顺位を付け、セキュリティプログラムの评価コストの増加を管理する。
• クリティカルな各サードパーティー?ツールのリスクが事业に与える全体的な影响の可能性を评価する。
• 公正なリソースの支援を受けてサードパーティーのツールやサービスを评価する。
• サードパーティーのツールおよびサービスについて、认定されたリソースと认定されていないリソースへのアクセスを定期的に评価する。
   

ステップ3：サードパーティー?セキュリティ?リスクを缓和する

脆弱性の特定と评価には缓和戦略も必要です。この戦略を用いて、特定したリスクの重大性を低减および是正します。

以下の対策を実践すれば、サードパーティーによってもたらされる胁威やリスクの缓和?防止に役立ちます。

• 组织の资产のアップストリームとダウンストリームの取引に加え、すべてのサードパーティー资产のインベントリを维持管理する。
• インベントリ対象の各サードパーティー?サービス／ツールについて、资产の所有権を主张する。
• 厂尝础（サードパーティーのサービスレベル合意书）と狈顿础（秘密保持契约）を作成し、定期的に见直す。
• ツールやサービスを导入する前に、サードパーティーにリスク管理アプローチと期待事项を伝える。
• 胁威やリスクをサードパーティーに伝えるためのオープンなチャネルを设ける。
• 各サードパーティー资产のリスク?プロファイルを作成する。リスクプロファイルはセキュリティリスクが生じた场合の事业への全体的な影响（収益、サービスなど）を示します。
• すべてのサードパーティーのエントリーポイントとエグジットポイントに関する缓和策を実装する。
• 评価フェーズ（胁威モデリング、アプリケーションのペネトレーションテスト、ソースコード解析など）で见つかった各サードパーティー?リスクの是正アクティビティのタイムラインを作成する。
• 顾客や従业员に配布する前に、サードパーティーからの変更を一元管理し、レビューする。
• 顧客データについてサードパーティーが実装しているセキュリティ対策を监査する。侵害が発生した場合に備えて、データを他の組織と分離しておくことが重要です。
• サードパーティーがホストする键管理、データストア、およびその他の重要な资产を管理し、责任を持つ。
• サードパーティーの资产からシステムへの権限のあるアクセスと権限のないアクセスを精査する。
• サードパーティーから派遣されたオンサイトの要员とその行动を监视する。