サードパーティリスク管理の進化が必要

ベンダー、テクノロジー、および規制要件が継続的に進化する環境では、従来のポイントインタイムのベンダーリスク評価の維持がますます難しくなっています。

最近eSecurity Planetとの議論の中で、Auditiveの創設者兼CEOであるDaniel Faddoulは、多くの組織が現代的なサードパーティリスク露出に対応できない理由と、継続的な監視がエンタープライズセキュリティプログラムにおいてますます重要になっている理由について説明しました。

Faddoulによると、従来のベンダー評価の最大の制限事項の1つは、組織がオンボーディング中にベンダーを1回評価してから、再評価するまで数ヶ月から数年間待つことが多いということです。

その間、ベンダーはサービスを拡張し、追加の内部システムにアクセスし、新しいAIツールを採用したり、第4者プロバイダーの使用を増やしたりする可能性があり、組織はリスク露出がどのように変わったかを完全に理解していません。

リスク評価に関する主要なポイント

• 従来のポイントインタイムのベンダーリスク評価は、急速に進化するサードパーティ環境に対応できなくなっています。
• AI導入、クラウドサービス、および第4者プロバイダーは、ベンダー関連の攻撃面を大幅に拡大しています。
• 年次再評価は、ベンダーテクノロジー、データハンドリング、およびAI使用の重大な変更を見落とすことが多いです。
• 継続的なベンダーリスク監視は、継続的な可視性、外部リスク信号、およびベンダーの態勢変化のリアルタイム追跡に焦点を当てています。
• 多くの組織は依然として、効果的なサードパーティリスク管理を制限する手動ワークフロー、スプレッドシート、およびコンプライアンス主導のプロセスに依存しています。

AIと第4者リスクが露出を拡大

Faddoulは、AIの急速な導入がこの課題を加速させていると述べました。多くのベンダーが大規模言語モデル（LLM）とAI搭載ツールをプラットフォームに統合しており、組織が従来評価できるペースよりもはるかに速いペースです。

ベンダーがAIシステムをより多くの内部データソースとワークフローに接続するにつれて、全体的な攻撃面は大幅に拡大します。

彼は、組織が年次再評価中に、ベンダーが元のレビュープロセスが完了してからずっと後に、追加のAIサービスまたは新しい第4者プロバイダーの使用を開始していたことを発見していると指摘しました。

ベンダーがカスタマーデータをどのように処理するか、情報がAIモデルのトレーニングに使用されるかどうか、およびデータがどのように分離されるかに関する質問は、現代的なベンダーリスクプログラム内でますます重要になっています。

Faddoulはまた、規制当局が急速に変化するテクノロジーに対応するのに苦労していると説明しました。

ベンダー評価に圧倒されている組織は、フレームワークとコンプライアンスの期待が新しいイノベーションと共に変化し続ける中、進化する規制要件を解釈しようとする際に追加のプレッシャーに直面しています。

継続的なベンダーリスク監視が実際に意味するもの

Faddoulによると、継続的な監視は1回限りのオンボーディング演習として見なされるべきではなく、初期調達からオフボーディングまで、ベンダーのライフサイクル全体にわたる継続的なプロセスとして見なされるべきです。

彼は継続的な監視を、外部リスク信号、継続的なベンダー提供の更新、および規制またはフレームワークの変化の継続的な追跡を組み合わせた層状アプローチとして説明しました。

目標は、次のスケジュール済み再評価まで待つのではなく、ベンダーリスク態勢の意味のある変化が発生したときに特定することです。

Faddoulは、組織が最初にビジネスの重要性と露出に基づいてベンダーを適切に分類することに焦点を当てるべきだと述べました。

その分類は、ベンダーをどの程度深く評価すべきか、どのフレームワークが適用されるか、および継続的な監視を必要とするリスク信号の種類を定めることができます。

彼はまた、新しいリスクまたは信号が特定された場合に組織がどのように対応するかに関する運用プロセスを定義することの重要性を強調しました。

組織が再評価と改善のワークフローを持っていない場合、変化の検出だけでは十分ではありません。

多くの組織が移行に苦労している理由

継続的な監視への関心が高まっているにもかかわらず、多くの組織はベンダーリスクプログラムの近代化を試みる際に運用およびインフラストラクチャの課題に直面しています。

Faddoulは、多くの実務者は既に大量のベンダー評価の管理に圧倒されており、既存のプロセスを再設計したり新しいアプローチを採用したりすることが難しいと述べました。

彼はまた、多くの組織は依然としてサードパーティリスクワークフローの管理にスプレッドシート、メール、および共有ドライブに大きく依存していると付け加えました。

一元化されたツールまたは自動化がなければ、ベースライン測定を確立し、ベンダーの変化を継続的に追跡することは大幅に困難になります。

もう1つの課題は文化です。Faddoulは、ベンダーリスク管理がまだ頻繁に、運用露出に直接結びついたリスク測定演習ではなく、コンプライアンス指向の「チェックボックス」プロセスとして扱われていると指摘しました。

組織がベンダーリスク可視性の改善を開始する方法

すぐに完全なオーバーホールを試みるのではなく、Faddoulは組織が最初に既存のベンダーリスクプロセス内の最も弱い領域を特定することに焦点を当てることを推奨しました。

これには、ベンダーのインテークと分類の改善、古い質問票とフレームワークの更新、または重要なベンダーの外部リスク信号の導入が含まれる可能性があります。

彼はまた、組織全体のポートフォリオ全体に一度に広範な変更を適用しようとするのではなく、最初に最も重要なベンダーに優先順位を付けるよう組織に助言しました。

最も高いビジネス影響と最大のデータ露出を持つベンダーに対する改善に焦点を当てると、組織はより効果的にリスクを削減し、より大きなプログラム変更の勢いを構築するのに役立ちます。

組織がより多くのAI、クラウドサービス、および相互接続されたベンダーを採用するにつれて、従来の年次評価ではもはや急速に進化するサードパーティリスクに十分な可視性を提供しません。