ゲインズビル地域公共事業局がベンダーリスクを徹底管理する方法

ゲインズビル地域公共事業局（GRU）は、単なる公共事業の提供者ではありません。それは地域社会の通信の基盤でもあります。電気や水道の供給に加え、GRUは光ファイバーネットワークを運用し、スマートグリッドやメーター技術を活用して、フロリダ州北部の都市の家庭、企業、公共施設をつなぎ、稼働させています。

その裏側では、これらのシステムはサードパーティベンダーの複雑なネットワークに依存しています。クラウドサービスプロバイダーから機器供給業者に至るまで、これらのパートナーはGRUの運営に不可欠な役割を果たしています。

しかし、同時にこれらはサイバーセキュリティ上の潜在的なリスクにもなります。

こうしたベンダーリスクに対応するため、同局のITセキュリティおよびコンプライアンスチームは2023年8月にベンダーセキュリティリスク評価（VSRA）プログラムを開始しました。このプログラムの主な目的は、機密性の高いシステム、データ、ネットワークへアクセスするベンダーが、精査プロセスの一環として厳格なセキュリティ基準を満たしていることを確認することです。

「VSRAは、ベンダーとの関係が私たちの環境に脆弱性を持ち込まないように設計しました」とGRUのCIOであるウォルター・バンクス氏は語ります。「このプログラムは、ベンダーの導入前、契約更新時、またはベンダーのサービス範囲が変更される前の早い段階で始動します。」

VSRAプログラムの内容

VSRAには以下のステップが含まれます：

• 受付とトリアージ：申請する事業部門が、ベンダーの責任範囲、関与するITサービス、必要なデータの種類、必要なシステムアクセスなどを詳細に記載した受付フォームを提出します。その後、ITセキュリティチームが初期リスクトリアージを実施します。
• 詳細評価：ベンダーが中程度または高リスクと判断された場合、セキュリティに関するアンケートへの回答や、SOC 2レポート、ペネトレーションテスト結果、セキュリティポリシーなどの文書提出が求められます。
• 技術的レビュー：セキュリティチームが、ベンダーのサービスがGRUのシステムとどのように統合されるかを評価します。データの送受信や保存、アクセス方法、セキュリティ管理などのカテゴリをカバーします。
• ベンダーリスク報告：レビュー後、セキュリティチームがリスクを特定し、対策を提案する報告書を作成します。中程度または高リスクがあった場合、申請部門のリーダーによる正式な承認が必要です。
• 集中記録管理：すべての評価と決定は、説明責任と監査のために安全な集中データベースに保管されます。

ベンダーや内部リーダーからの最初の抵抗

VSRAプログラム導入の最初のハードルは、リーダーシップからの内部的な抵抗だったとバンクス氏は言います。一部のGRU幹部は、このプログラムがすでに複雑で長い調達プロセスにさらに手間を増やすのではと懸念していました。

懐疑的な声を克服するために、GRUのITチームは過去のベンダー評価の実例をリーダー層と共有しました。成功例だけでなく、十分な精査が行われなかったことでセキュリティ脆弱性が生じた事例も示しました。ITチームは、対応にかかる時間やリスクベースの提案が実際にどのように機能するかも説明しました。

「徐々にリーダーシップの支持を得て、彼らが組織全体にプログラムの利点を伝えるための情報を提供できました」とバンクス氏は語ります。

ベンダーのコンプライアンスももう一つの課題でした。特に、これまで詳細なセキュリティ文書の提出を求められたことがなかった長年のパートナーにとっては困難でした。GRUは、ベンダーに直接連絡し、新しい基準への対応方法を説明することでこれに対処しました。さらに、ベンダーのセキュリティ状況を継続的に監視するベンダースコアリングシステムも導入しました。

「文化的な抵抗、ベンダーのコンプライアンス、文書化の課題を解決したことで、関係者全員がこのプログラムの価値を認識し始めました」とバンクス氏は語ります。

効果：ベンダーリスクの低減と効率の向上

VSRA開始以来、GRUは144社のベンダーを正式に評価し、32件のリスク例外報告書を作成しました。そのうち3分の2のケースでは、代替ベンダーを選択することでリスクを完全に回避しました。

また、このプログラムにより、データ漏洩につながる可能性があった中～高リスクの脆弱性を70件以上発見しました。

コンプライアンスも向上しました。より多くのベンダーがSOC 2レポートや認証、文書化されたセキュリティポリシーを提供するようになり、GRUはHIPAAなどのデータ保護要件を満たし、コンプライアンス違反による罰則のリスクも低減しています。

さらにバンクス氏によれば、GRUにとってもう一つの成果は、ベンダーリスク評価プロセス自体がより効率的になったことです。

「評価の一部を自動化し、ベンダーリスクデータベースを追加したことで、脅威への対応が迅速になり、手作業が50％削減され、チームメンバーがより重要な業務に集中できるようになりました。」

ベンダーリスク評価プロジェクトにより、ゲインズビル地域公共事業局は2025年CSOアワードを受賞しました。この賞は、卓越したリーダーシップとビジネス価値を示したセキュリティプロジェクトを称えるものです。

セキュリティリーダーへのアドバイス：近道も例外もなし

CIOのバンクス氏は、サードパーティリスク管理についていくつかの教訓を得ており、VSRAプログラム導入を検討する組織へのアドバイスを提供しています。

• 外部の助言を求める：バンクス氏は、CIOやCISOがプログラム設計前に同業者や業界団体とベンダーリスク管理について話し合うことを勧めています。こうしたグループからの洞察は、セキュリティ脅威の複雑さを無視した「安易な解決策」を避けるのに役立ちます。
• セキュリティをビジネスケースに組み込み、透明性を持つ：セキュリティプログラムのリスクとリターンを比較し、ベンダーリスク評価に明確なビジネスケースがあることを確認しましょう。ビジネス上の利点をリーダーや他部門に明確かつ頻繁に伝えることが重要です。
• 評価を反復可能かつ非交渉にする：すべてのベンダーに同じリスク評価を適用しましょう。反復可能なプロセスにより、ベンダー、機器、サービスが一貫して評価されます。特定のベンダーに例外を設けるとリスクが生じる可能性があります。
• 警告サインに注意：リスク評価への参加を拒むベンダーは、より深刻な問題を抱えている可能性があります。VSRA導入初期、あるベンダーがGRUの事業部門に直接連絡し、VSRAプロセスの免除を求めてきました。数週間後、そのベンダーは悪意あるデータ侵害を受けました。バンクス氏は、VSRAプロセスが侵害を防げたわけではないとしつつも、契約前にリスク評価を行う重要性を強調しています。

例外なき安全な公共事業と地域社会

ベンダー調達にリスクチェックを組み込み、セキュリティ脆弱性を常に監視することで、GRUはリスクの低減、コンプライアンスの向上、全員がセキュリティを真剣に考える文化の構築を実現しました。

サイバー脅威が進化する中、GRUの経験は、重要インフラを守るにはまずベンダーを知り、信頼することから始まることを示しています。

バンクス氏にとって、そのメッセージは明確です。「あなたの組織と取引を続けたいベンダーは、あなたの基準を満たさなければなりません。例外を設けず、信念を貫いてください。」

受賞歴のあるセキュリティリーダーの実践をチェック
ゲインズビル地域公共事業局は、革新的なベンダーリスクプログラムで2025年CSOアワードを受賞しました。CSOカンファレンス＆アワードでは、このような実践的な戦略を、実際にリードするエグゼクティブから直接聞くことができます。今すぐイベントに登録してください。