意見
サードパーティ情報リスクは、サイバーセキュリティの枠を超えて広がっています。サードパーティの障害は、業務の混乱、プライバシーへの影響、規制上のリスク、契約上の損失、事業中断、風評被害、顧客への影響、保険でカバーされない金銭的損失、そして事業継続の失敗を引き起こす可能性があります。
取締役会や経営陣にとっての課題はエクスポージャー、つまり情報やシステム、プロセス、依存関係が自社の管理外にあることで、企業がどれだけのリスクを抱えているかという点です。
多くの組織はこの課題に対応するため、サードパーティリスク管理プログラムを構築してきました。こうしたプログラムでは、ベンダーの審査、保証報告書の収集、質問票の依頼と分析、契約内容の評価、保険加入の要求、是正対応の管理、例外事項の承認フローの運用などを行います。これらの活動はいずれも重要です。効果的なガバナンスには、これらベンダーが生み出すエクスポージャーを明確に把握することも求められます。
重要な問いはこうです。自社が抱えるサードパーティ情報リスクのエクスポージャーはどの程度か、そのうちどれだけが有効にレビューされているか、それはリスク許容度の範囲内に収まっているか、同業他社と比較してどうか、そして残存する金銭的エクスポージャーはどれくらいか、という点です。
効果的なサードパーティ情報リスクガバナンスは、次のようなシンプルな流れに従います。
測定 → 網羅性と信頼性の検証 → 比較 → 説明 → 集計 → ベンチマーク → 対処と移転 → 統治。
まず組織は、固有リスク、データの機密性、事業上の重要性、保証の質、統制の有効性、是正対応、契約上の保護、保険、補完的統制などを考慮した上で、残存エクスポージャーを測定する必要があります。
次に、網羅性と信頼性を検証する必要があります。経営陣は、ベンダー全体のうちどれだけがリスク階層分けされているか、どれだけがレビュー済みか、そのレビューがどの程度のエクスポージャーに相当するか、レビューの深さが適切だったか、そして根拠が古い・不完全・限定的・自己申告ベース、あるいはその他の理由で信頼性が低いために不確実性が残っている箇所はどこか、を説明できる必要があります。
第三に、測定されたエクスポージャーは、定められたリスク選好度・許容度と比較されるべきです。ガバナンスは閾値に依存しており、閾値には安定した標準化された測定手法が必要です。測定が甘いと、判断はレビュー担当者の主観、事業上の緊急性、交渉力、入手可能な資料、あるいは現場ごとの解釈に左右されがちになります。
第四に、経営陣は標準からの逸脱について説明すべきです。事業上の緊急性から、通常の許容範囲を外れたベンダーとの取引を進めることが正当化される場合もあります。そうした判断は、明示的で、測定可能で、責任の所在が明確で、期限が定められ、可視化されている必要があります。例外報告には、エクスポージャーの発生要因、事業上の根拠、検討した代替案、受け入れたエクスポージャー、想定される継続期間、責任を負う担当者、緩和策、そして移転計画を記載すべきです。
第五に、エクスポージャーは集計されなければなりません。個々のベンダーに関する例外は管理可能かもしれませんが、類似の例外が集中すると、ポートフォリオ全体として重大なリスクになり得ます。個別には許容範囲内の判断であっても、同一の重要プロセス、データ種別、クラウドプロバイダー、ソフトウェアプラットフォーム、地域、統制上の弱点、下請け業者への依存、保険の制約、契約上の抜け穴が絡む場合、集合的には重大な意味を持つことがあります。
第六に、ベンチマークは文脈を提供します。取締役会は、自社の内部基準や閾値が同業他社のそれと整合しているかを評価すべきです。同業他社よりも多くのエクスポージャーを受け入れている組織もあれば、より保守的な姿勢を取っている組織もあり、それはコストや対応速度、競争力に影響を及ぼす可能性があります。同業他社との比較は、逸脱が意図的な戦略によるものか、それとも管理されないまま生じた乖離なのかを経営陣が判断する助けになります。
第七に、リスク対処とリスク移転は、ガバナンス上の判断として評価されるべきです。経営陣は、どのリスクが是正・低減・受容・保証・保険付保・免責・プール化、あるいはその他の形で移転されているのか、そして残存する金銭的エクスポージャーがどの程度なのかを把握しておく必要があります。
リスク移転には慎重な対応が必要
リスク移転がガバナンス上有用になるのは、組織が事業上の言葉で、残存エクスポージャー、想定される金銭的影響、保有し続ける部分、移転した部分、移転手段の信頼性、そして企業に残るエクスポージャーを説明できるようになったときです。これが重要なのは、保険証券、免責条項、完了済みのレビュー、承認済みの例外事項、活動報告書などが揃っていても、企業のバランスシート上には依然として重大なエクスポージャーが存在し得るからです。
取締役会と経営陣の責任範囲も明確にしておくべきです。経営陣はガバナンスモデルを運用する立場にあります。具体的には、測定手法の維持、閾値の適用、ベンダーや契約の評価、集中リスクの特定、対処方針の提言、例外事項の文書化、移転オプションの評価、レビューの網羅性と信頼性の評価、そして重大なエクスポージャーの報告を担います。
取締役会は、経営陣がサードパーティ情報リスクを測定・統治するための信頼できるモデルを備えているかどうかを監督します。この監督には、リスク選好度の承認または異議申し立て、重大なエクスポージャーの理解、許容度からの重大な逸脱のレビュー、保有リスクと移転リスクの評価、網羅性とレビューの有効性の評価、そして自社の姿勢が戦略やレジリエンスへの期待、同業他社の基準と整合しているかどうかの判断が含まれます。
取締役会向けの報告は、簡潔で、定量的で、傾向に基づき、意思決定志向であるべきです。これはエクスポージャー・ガバナンス報告として機能すべきものであり、ベンダーレビューに関する運用上の指標は別途扱うべきです。実践的な報告書には、エクスポージャーの概要、許容度との整合性、金銭的エクスポージャーと移転状況、例外事項、ベンチマーク、そして対応策を盛り込むべきです。
このような報告構造は、取締役会が必要とするガバナンス上の視点を提供します。企業が抱えるエクスポージャー、その根拠となる証拠の確度、許容範囲を外れている領域、重大化しうる集中リスク、残存する金銭的影響、そして経営陣が講じている対応策を可視化できます。
サードパーティ情報リスクガバナンスには、エクスポージャーの可視化が欠かせません。ベンダーレビュー、質問票、認証、契約、保険、例外事項の承認はいずれもこのプロセスを支えるものです。取締役会による監督にはまた、残存エクスポージャー、網羅性、信頼性、許容度との整合性、集中度、同業他社との比較、保有される金銭的エクスポージャー、移転された金銭的エクスポージャー、そして必要な対応についての測定に基づいた視点が求められます。
この能力を構築できた組織は、サードパーティ情報リスクを企業全体のエクスポージャーとして統治できるようになります。リスクが把握され許容範囲内にあると分かれば迅速に動くことができ、注意が必要な取引関係をエスカレーションでき、活動指標がもたらす見せかけの安心感に惑わされずに済み、そして取締役会や経営陣が規律を持ってリスクを監督するために必要な情報を得られるようになります。
翻訳元: https://www.darkreading.com/cyber-risk/manage-vendor-risk-in-a-few-practical-steps