サードパーティにセキュリティを真剣に受け止めてもらうには?

By 清水 孝郎 - JULY 3, 2024
Topics: コンプライアンス

SHARE:

本文の内容は、2024年7月2日に CRYSTAL MORIN が投稿したブログ(https://sysdig.com/blog/third-parties-security)を元に日本語に翻訳・再構成した内容となっております。

過去10年間で、特にギグエコノミーの中で、企業が従来自社内で行ってきた主要な機能を第三者に外部委託することが一般化してきました。現代の企業は、アプリケーション開発、バックオフィス業務、契約製造と研究、マーケティング、そしてコアのITサービスなど、多岐にわたるサービスを第三者に頼って仮想的に運営しています。それでも、企業の多くは、ビジネス運営を支えるために依存するすべての第三者プロバイダーの完全なリストを持っているわけではありません。これらの各関係は、企業にとって潜在的に重大なリスクを導入する可能性があります。

世界各国の規制当局は、経済に対するサイバーセキュリティや第三者およびサプライチェーンのリスクにますます焦点を当てています。特に、以下の規制がサプライチェーンのリスクを強調しています:

  • カナダの重要サイバーシステム保護法では、サプライチェーンやサードパーティの製品やサービスによる重要サイバーシステムへのリスクを特定して管理し、「指定事業者」にこれらのリスクを軽減する義務を課すことを提案しています。
  • EU のNIS 2 指令の第 7 条では、加盟国は ICT 製品およびサービスのサプライ チェーンにおけるサイバー セキュリティに対処するためのポリシーを採用する必要があると規定されています。さらに広くは、第 21 条で、加盟国はサプライ チェーンのセキュリティリスクを適切に管理する必要があると規定されています。
  • アメリカ合衆国は、2018年の連邦調達サプライチェーン法において連邦調達安全保障評議会を設立し、政府調達中にサプライチェーンのリスク評価を完了することを定めました。そして、2021年にはエグゼクティブオーダー14017においてサプライチェーンのリスクをさらに検討し、レジリエンス(回復力)の必要性を強調しました。

これらの要件は、サードパーティプロバイダーがセキュリティ上の近道を取る場合、企業が責任を負う可能性があることを明確にしています

つまり、企業はサードパーティプロバイダーの審査方法とサービスの契約方法を大幅に変更する必要があるということです。

サードパーティやサプライ チェーンのリスク管理は、提案依頼 (RFP) プロセスから始まります。RFP を使用して、セキュリティ、プライバシー、およびリスク管理の観点から組織の要件を明確に伝えます。潜在的なベンダーやサプライヤーは、セキュリティとプライバシーの適切な実践がビジネス関係の前提条件であることを完全に明確に理解する必要があります。契約では、セキュリティ、プライバシー、およびリスク管理の要件をそれに応じて成文化する必要があります。 

以下は、セキュリティのレベルを向上させ、これらの外部関係者に関連するリスクを管理するために、今後サードパーティ プロバイダーとの契約に含めるべき提案です。 

  • プロバイダーに、セキュリティプログラムのステータスを証明し、そのプログラムをNIST CSFや ISO 27001、27002 などの認められたセキュリティ標準またはフレームワークに関連付けることを要求します。
  • 提供業者が、組織の定義したセキュリティコントロールと要件を満たすことを保証しているか確認してください。 
  • 契約に監査権と違反通知条項が含まれていることを確認します。違反通知のタイミングがCIRCIAなどの組織の開示義務と一致していることを確認します。 
  • 必要に応じて、より技術的なデューデリジェンスに対する期待を確立します (例: コードレビュー、ペンテスト、その他の高度な保証レビュー)。
  • プロバイダーに、サイバーセキュリティ プログラムに重大な変更を加える場合は事前に通知するよう要求してください。契約には、プロバイダーによる変更が組織のセキュリティ要件に違反する場合の終了条項を含める必要があります。
  • ソフトウェアコンポーネントまたはシステム要素を正確に記述したソフトウェア部品表 ( SBOM ) をプロバイダーが提供するように要求します。
  • 契約書に、組織のセキュリティ関係者とプロバイダーのセキュリティ リーダーの間での継続的な管理会議が規定されていることを確認します。これらの会議は、新しい脅威、セキュリティプラクティスの変更、サービスレベル アグリーメント (SLA) のステータス、および検討中のサービスに関連する保証に影響を与える可能性のあるその他の要素を共同で確認するために不可欠です。これらのディスカッションを使用して、特にサービスの境界に関する理解を検証します。 

契約交渉においてセキュリティ、プライバシー、リスク管理を優先することは、明確なメッセージとなります。堅牢なセキュリティ プログラムを積極的に開発するサードパーティベンダーとサプライヤーは、デューデリジェンス要求と規制義務を伴う組織のオンボーディングプロセスを簡素化します。関係の開始時に双方が明確で曖昧さのないセキュリティ要件を確立するために講じた努力は、最終的に大きな利益をもたらします。