製品紹介: Trust Chain TPRMがベンダーコンプライアンスの証跡を検証済みの保証へと変える

Trust Chainは、Strike Graphが提供するAIネイティブなサードパーティリスク管理(TPRM)ソリューションで、セキュリティ質問票モデルに代わり、コンプライアンス遵守の検証済み証跡を用いる仕組みを採用しています。ベンダーに自らのセキュリティ体制を自己申告させるのではなく、Trust Chainはベンダーに証跡の提出を求め、Strike Graphの特許出願中技術であるVerify AIによってその証跡を評価します。評価では、提出された各証跡を依頼元組織の具体的な要件に照らしてテストします。その結果得られるのは、ベンダーによる自己申告ではなく検証済みの保証であり、他のTPRMツールと比べてわずかな時間とコストで実現できます。

Trust ChainはStrike GraphのGRCプラットフォームに直接組み込まれており、ベンダーリスクデータを、組織のコンプライアンスフレームワーク、内部統制、監査証跡と同一の環境内で扱えます。別ツールに切り替える必要はありません。

Image

証跡に基づくAI検証でベンダーのコンプライアンスを検証

Verify AI: 証跡を収集するだけでなくテストするエンジン

Trust Chainを市場の他のTPRMツールと決定的に分けているのが、Strike Graphのコンプライアンス証跡向け特許出願中AI検証エンジン、Verify AIです。ベンダーがコンプライアンス文書を提出すると、Verify AIはその証跡を、提出対象となった具体的な要件に照らしてテストします。証跡が該当する統制を実際に示しているかどうかを判定し、ギャップや矛盾、対象範囲の不足を自動的に洗い出します。

Image

[ベンダー画面]Verify AIがテストを実行し、ベンダーが添付した証跡が顧客側の記載要件を満たしているかを検証します。

たとえば、依頼元企業が要求する範囲より狭い対象しかカバーしていない侵入テストや、関連統制の一部しか扱っていないポリシー文書を提出した場合、これらの不備は完全なものとして受け入れられることなく自動的に検出されます。Verify AIは、手作業のレビューでは見落とされがちな点や、質問票ベースのツールでは検証すらされない点を捉えます。

フラグが立てられた項目はコンプライアンスチームによる人的レビューに回され、手作業の範囲を大幅に削減します。Trust Chainは、初期の証跡テストを自動化することで、TPRMにかかる時間を、業界平均であるベンダー1社あたり40時間超から約3.5時間へと、92%削減します。

Image

Verify AIは要件を完全に満たしていない証跡にフラグを立て、理由を文章で説明し、人的介入によるレビューを促します。

コンプライアンスチームがフラグ付き項目をレビューする際には、テストが不合格になった理由を確認し、コメントを残し、結果を上書きすることができ、その内容は記録として保存されます。

Image

ベンダー証跡リクエストの手動レビュー中に社内向けコメントを残せます

「組織は何十年もの間、コンプライアンスの主張を測定し、それをサードパーティリスク管理と呼んできました」と、Enterprise Management AssociatesのリサーチVPであるChris Steffen氏は述べています。「Strike GraphがTrust Chainで構築したものは、構造そのものが異なります。ベンダーに統制がどのようなものかを尋ねるのではなく、ベンダーが提出する証跡がその統制を実際に示しているかどうかを検証するのです。それこそが市場に必要な転換であり、TPRMが進むべき正しい方向です」

継続的モニタリング: 評価と評価の間で途切れないリスクの可視性

ほとんどのTPRMプログラムは年に一度ベンダーを評価し、完了した質問票を継続的なコンプライアンス遵守の証跡として扱います。しかし、その後の数か月の間に認証が失効したり、監査対象範囲が変わったり、セキュリティプログラムが変化したりしても、次の評価サイクルが始まるまでコンプライアンスチームにはそれを知る術がありません。

Trust Chainは、この一時点だけを見るモデルを、自動化されたサプライチェーンモニタリングに置き換えます。コンプライアンスチームは、Trust ChainのEvidence Request Libraries(証跡リクエストライブラリ)を通じて、ベンダーに証明を求める内容を正確に定義できます。標準的な証跡タイプのセットから始めることも、既存の質問票をそのまま変換することも可能です。要件は、ベンダーのポートフォリオ全体に一律に割り当てることも、リスクレベル、データアクセス、規制上のリスクの違いを反映してベンダーごとに調整することもできます。

Image

あらかじめ用意されたEvidence Request Libraryから証跡を全ベンダーに割り当てたり、個々のベンダーのリスクレベルに応じた個別リクエストを追加したりできます

コンプライアンスチームは、要件ごとに証跡の有効期限スケジュールも設定できます。たとえばSOC 2レポートや侵入テスト、ポリシー文書などの文書がどれくらいの期間有効で、いつ再収集が必要になるかを指定します。証跡の有効期限が近づくと、Trust Chainはコンプライアンスチームの介入なしに、自動的にベンダーへ新しい提出リクエストを送信します。こうしてリスクの可視性は、年一度のものから継続的なものへと変わります。

Image

証跡リクエストごとに、ベンダー別の評価状況と進捗状況をリアルタイムで確認できます

リアルタイムダッシュボードでは、どのベンダーが完全に検証済みか、どのベンダーが提出待ちか、どのベンダーに未解決のギャップがあるかを、更新期限の手動管理やフォローアップのメールのやり取りなしに把握できます。コンプライアンスチームは、各ベンダーの記録に社内限定のコンテキストを追加して充実させることもできます。手動でのベンダースコア、ステータス区分、そして証跡だけでは分からないビジネス上の判断を反映したメモなどです。Verify AIがある項目を既知かつ承認済みのリスクとしてフラグ付けした場合、チームはそのフラグを直接上書きできるため、実際には不要な是正作業を発生させることなく監査証跡をそのまま維持できます。ベンダー側の対応が必要な項目については、レビュー担当者が提出内容に紐づく具体的なコメントを残すことができ、メールでのやり取りを介さずに、何を再提出すべきかをベンダーに直接伝えられます。

Image

任意のメモを添えて、社内向けにベンダーを承認・スコアリング

ベンダー側の体験: 提出が冗長な質問票に取って代わる

Trust Chainは、顧客関係ごとに個別の質問票へ回答する代わりに、ベンダーがコンプライアンス証跡を一元管理・提出できるプラットフォームを提供します。アクセス制御ポリシー、インシデント対応計画、事業継続文書から、侵入テスト結果、監査レポート、各種認証に至るまで、顧客ごとの具体的な要件を満たすために必要な証跡を、一つの場所で扱えます。

Verify AIは各提出内容を検証し、その結果を依頼元組織と共有します。文書そのものを共有するわけではないため、ベンダーは自らコンプライアンス文書を直接共有すると選択しない限り、その管理権限を保持し続けられます。提出内容が要件を満たさない場合、ベンダーは顧客からのコメントと具体的な再提出リクエストを受け取ります。メールでのやり取りを介さずに、何をすべきかが明確に伝わる仕組みです。

複数の顧客と関係を持つベンダーも、Trust Chainを使えば、質問票ベースのTPRMに参加する際に負担となっていた重複作業をせずに、コンプライアンス遵守を容易に証明できます。

Image

Vendor Portalには、すべての証跡リクエストと提出内容が、ステータス、期限、依頼者とともに表示されます

ベンダー側の負担軽減は数字にも表れています。Trust Chainは84%というベンダー回答率を達成しており、業界平均の約67%を上回ります。これは、質問票による負担を、ベンダーの時間を尊重した提出モデルに置き換えた直接的な成果です。

質問票では今日のコンプライアンス義務を満たせない理由

質問票ベースのTPRMに対する批判は、もはや運用上の問題にとどまらず、法的な問題としての性格を強めています。CMMCレベル2の下では、指名されたAffirming Official(承認責任者)が、組織のベンダーおよびサプライチェーンのセキュリティに関する年次コンプライアンス証明について、個人として責任を負います。CMMCの評価手法では、各セキュリティ統制を「正しい実装」「運用上の有効性」「望ましい成果」という3つの基準に照らして評価することが求められています。完了済みのベンダー質問票は、このいずれも満たしません。完了済みの質問票が捉えているのは、ベンダーが自らの統制について語ることを選んだ内容だけであり、それはまさにCMMCの評価手法が乗り越えようとしているものそのものです。

Strike GraphのCEO兼共同創業者であるJustin Beals氏は、自身の記事「Affirming Official’s dilemma: Why security questionnaires fail under CMMC Level 2」の中で、質問票に依拠してベンダーのコンプライアンス遵守を証明するAffirming Officialは、故意の無視や無謀な軽視とみなされる基準の下で、偽証取締法(False Claims Act)上の潜在的な責任にさらされる可能性があると指摘しています。規制の枠組み自体が、自己申告による主張は統制の実装の証跡にはならないことを明確にしているのです。

同じ原則はCMMCにとどまりません。GRC 20/20 Researchの創業者であり、広く「GRCの父」として知られるMichael Rasmussen氏は、GRCにおけるAIについての分析の中で、証跡の収集と証跡の保証を明確に区別して論じています。完了済みの質問票があるからといって、その回答が正確であるとは限りません。統制記録に文書が添付されているからといって、その統制が実際に有効に機能しているとは限りません。そして、証跡の収集を単に加速させるだけのAIは、成果物と誤った安心感を増やすだけに終わる可能性があります。Verify AIは、このギャップを埋めるために構築されており、証跡を収集する段階から、その証跡が主張する内容を実際に裏付けているかどうかを検証する段階へと歩みを進めています。

翻訳元: https://www.helpnetsecurity.com/2026/07/15/product-showcase-strike-graph-trust-chain-tprm/

ソース: helpnetsecurity.com