コンテンツにスキップするには Enter キーを押してください

セキュリティは最も弱いサードパーティのリンクと同じくらい強い

投稿日 2025年6月16日

Shimon Modi, サイバー製品管理担当副社長, Dataminr

2025年6月16日

4分で読めます

チェーンのリンクが壊れる; 青い背景

出典: Zoonar GmbH via Alamy Stock Photo

コメント

サードパーティリスクの管理は長らく企業にとっての課題でしたが、最近の米国の貿易政策の変化がサプライチェーンとセキュリティに関する不確実性を生んでいます。この不確実性は、ビジネスリーダーに供給業者やパートナーを再考させるきっかけとなり、情報セキュリティ責任者(CISO)も新しい関係がもたらすリスクを迅速に理解し、軽減できるようにサードパーティリスクの監視を進化させる必要があります。これは、サードパーティが直面するリスクを自社のリスクとして扱うことを意味します。

かつて業界に役立っていたパラダイム — 強固な内部監視と定期的な外部評価および契約義務の組み合わせ — は、今日の超接続されたビジネス環境では組織を露出させます。これは単なる技術的なギャップではなく、概念的なものです。私たちは内部のセキュリティツールからの遅れたアラートを許容しないのに、パートナーネットワークからの脅威に関する古い情報を受け入れることが常態化しています。

その結果は重大です。Verizon「2025年データ侵害調査報告書」によれば、サードパーティ攻撃は昨年に比べて倍増し、現在ではデータ侵害の30%を占めています。別の報告書によれば、98%の組織が侵害されたサードパーティと関係を持っています。Gartnerの調査では、84%の回答者がサードパーティのインシデントが業務の混乱を引き起こしたと述べ、サードパーティ侵害の修復コストは内部侵害よりも40%高いとされています。

関連記事:Googleのバグが任意のユーザーの電話番号をブルートフォース可能に

最近の注目を集めた侵害でこれが実証されています。Change Healthcareへのランサムウェア攻撃は昨年、病院や医療クリニックの業務を混乱させ、米国人口の半数に影響を与えました。Snowflakeの従業員の資格情報が侵害され、165以上の組織に影響を与えました。いくつかのインシデントがアイデンティティとアクセス管理会社Oktaとその顧客に影響を与え、2023年には従業員が会社のラップトップで個人のGoogleプロファイルにサインインした後、顧客サポートシステムの侵害が発生しました。

サードパーティの盲点

従来のサードパーティリスク管理は、コンプライアンス主導のセキュリティ質問票に大きく依存しており、すぐに時代遅れになる瞬間的なスナップショットです。このアプローチは盲点を生み出します。組織は通常、サードパーティの侵害について予防措置を講じるには遅すぎる時点で知ることになり、資格情報の盗難、ドメインの偽装、パートナーを標的としたランサムウェアは、業務に影響を与えるまで見えないままです。

関連記事:MiraiボットネットがWazuhセキュリティプラットフォームの脆弱性を悪用

この課題はリソースの制約によってさらに悪化します。手動の評価は単にスケールしません。サイバーセキュリティとインフラセキュリティ庁(CISA)の人員と資金の削減に関する最近のニュースは、新たな脅威や脆弱性に関する信頼できる情報源を排除することで問題を悪化させています。現在、企業のCISOは脅威インテリジェンスに対する責任をさらに負うことになっています。

サードパーティが組織の重要な一部である世界でレジリエンスを強化するには、セキュリティコントロールの考え方を根本的に変える必要があります。組織は、ベンダー評価プロセスの改善、従来の境界を超えたリアルタイム監視を拡張する適切な技術的ソリューション、そしてレジリエンスに焦点を当てた多層的アプローチを開発する必要があります。

プログラム的アプローチ

セキュリティリーダーは、全体的なセキュリティプログラムの成熟度に合わせた段階的な戦略でサードパーティリスクに対処する必要があります。この旅は、サードパーティ関係のオンボーディングや更新時にベースラインのコンプライアンスチェックとセキュリティ評価から始まり、ビジネスにとって最も重要な分野に焦点を当てるのに役立ちます。組織が成熟するにつれて、組織の優先事項に基づいて適応するより定期的なレビューサイクルを確立するためのリソースを割り当てるべきです。

関連記事:ステルスファルコンAPTが中東でMicrosoft RCEゼロデイを悪用

次のフェーズでは、サードパーティベンダーの継続的な監視を脅威検出と対応操作に直接組み込み、リアルタイムのアラートと自動修復機能を可能にします。最高の成熟度レベルでは、組織はAIを含む先進技術を活用して、テキスト、音声、ビデオソース全体の多言語脅威インテリジェンスを処理し、サードパーティエコシステムに対する真に包括的な可視性を提供します。

CISOは、リソースの制約と拡張された可視性の必要性をバランスさせる必要があります。セキュリティスキルが高い需要と供給不足の中で、技術は重要なフォースマルチプライヤーとなります。AIの最近の進歩は、限られた人的資源を補完し、利用可能な膨大な脅威情報の風景を処理する機会を提供します。

レジリエンスパートナーとしてのCISO

技術を超えて、レジリエンスにはCISOの役割を高める必要があります。セキュリティリーダーは、単に予防に焦点を当てるだけでなく、避けられない攻撃に直面した際の業務の適応に焦点を当て、より良いビジネスパートナーになる必要があります。これには以下が含まれます:

  • サードパーティへの依存関係を理解するためにビジネスユニットと協力する

  • サードパーティの妥協の業務への影響を定量化する

  • さまざまなレベルのサードパーティリスクイベントに対する明確なプレイブックを確立する

  • 改善された修復までの平均時間と、対策が取られなかった場合の推定収益損失を通じて効果を測定する

今日の相互接続されたビジネス環境では、セキュリティの姿勢は最も弱いサードパーティのリンクと同じくらい強いです。連邦のリソースが減少し、サプライチェーンが変化する中で、拡張されたデジタルエコシステムの積極的で継続的な監視は単なるセキュリティの必須事項ではなく、ビジネスの必要性です。

翻訳元: https://www.darkreading.com/vulnerabilities-threats/security-strong-weakest-third-party-link

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です