CIOが麝牛から学べること

Wirestock Creators – shutterstock.com

サードパーティ・リスク管理 は、CIOとセキュリティ意思決定者にとって重大な課題です。適切に対処されない場合、広範な事業への影響が生じる恐れがあります。生産停止にまで至る可能性もあります。

これは過去数ヶ月間のサードパーティに対する様々なサイバー攻撃によって強調されています。例えば、ロシアのハッカーグループAPT29（「Cozy Bear」としても知られている）が2024年6月にエンタープライズ環境で広く使用されている無料のリモートアクセスソフトウェアTeamViewerを標的にしました。TeamViewerを使用していなくても、Perimeter81、AnyDesk、GoToMyPC、LogMeInなど、他の様々なプロバイダーからも同様のツールが利用可能です。

重要な質問は以下の通りです：

• 次に攻撃されるサードパーティはどこか？
• そのリスクを負う余裕はあるか？

サードパーティはあなたの最も弱いリンク

残念ながら、ほぼすべての企業は、ソフトウェアサプライチェーンとビジネスプロセスに統合された非常に多くの異なるサードパーティに依存しています。ここで言及しているのは2～3のサードパーティパートナーではなく、一般的なSaaS（Software-as-a-Service）の提供に関しては、企業が毎日頼りにしている数百または数千のサードパーティです。

サードパーティとのコラボレーションに伴うリスクはそれに応じて急激に増加します。その数が増加する場合だけでなく、このエリアの他のリスク要因には以下のものが含まれます：

• 限定的な透明性。 ほぼすべてのプロバイダーは、見込み客に様々なデータを提供して彼らの能力をアピールしています。ただし、場合によっては提供される情報が最新ではないため、現在のリスク状況を適切に反映していません。
• 複雑さの増加。 様々なサードパーティが自ら下請け業者やサブコントラクターと協力しており、その存在についてはご存知ないかもしれません。
• 未成熟なプロセス。 多くのサードパーティプロバイダーは、あなた自身のサイバーセキュリティポリシーとスタンダードよりも未成熟なサイバーセキュリティポリシーとスタンダードで運営されています。
• 投資の削減。 後者のポイントは、多くのサードパーティがサイバーセキュリティに限定された予算を持っていることと関連していることが多いです。これは彼らのツールとサービスのセキュリティレベルに影響を与える可能性があります。

確かに、これらのギャップを埋めるために様々なベストプラクティスとプレイブックが開発されていますが、これらの多くはうまく機能していません：

• ベンダー評価は定期的に紙ベースの「チェックボックス演習」になり、時間を消費するだけで、リスク最小化に貢献しません。
• 契約交渉の枠組みの中でも、サードパーティにより厳しいセキュリティ要件を適用させたいというアプローチは、多くの場合効果がありませんでした。
• 一部の企業は継続的な監視に頼って、サードパーティのセキュリティレベルに関するより多くのデータドリブンな洞察を得ています。
• 他の企業はサードパーティパートナーに関してインシデント対応計画を実装して、そこでセキュリティインシデントが発生した場合に戦略を開発し、演習しています。

特に後者の2つのポイントは企業にとって有用です。ただし、これらの対策もサードパーティとのリスクに完全に対処しているわけではありません。むしろ、サイバー攻撃が発生した場合に監視および対応するための手段です。

麝牛戦略

私は「金融サービス情報共有分析センター」（FS-ISAC）の誇りあるメンバーであり、金融サービス業界の他のCIOとともにアジア太平洋地域の戦略委員会の議長を務めています。このコンソーシアムは世界中の金融サービスプロバイダーに包括的なサイバーインテリジェンスネットワークを提供し、相互に差し迫った、または既に進行中の攻撃キャンペーンについて情報交換を行っています。

業界の多くの異なる企業が異なるレベルの知識とリソースを備えているため、メンバーはそれぞれが単独では達成できない包括的な視点を得ることができます。FS-ISACは、セキュリティ意思決定者がどのようにして協力して、リスクに対してより良く対処できるかの優れた例です。

これが、私が「麝牛戦略」と呼ぶものの本質です。背景：麝牛がオオカミに襲われると、群れは円を形成し、その中心に弱いメンバーが配置されます。「前線」の動物の角は外向きに位置しています。攻撃者にとって、この共同防衛壁はほぼ克服不可能です。私は、この戦略もサードパーティ・リスク管理に適用できると確信しています。

麝牛の子牛と同様に、依存しているサードパーティは最も弱い群れのメンバーです。彼らが影響を受けると、それは私たちの重要なビジネスプロセスに影響を与えます。麝牛との違い：中心にサードパーティがいる円を形成することはありません。代わりに、サードパーティのサイバーセキュリティ対策が望ましくない場合は、集団でそれについて話し合い、強化する必要があるかどうかを決定することが適切です。

さらに重要なことは、その取り組みに共同でサードパーティを支援することについての共通の合意です。これは潜在的には調整作業と場合によっては契約の再交渉を必要とするでしょう。しかし、これは私たちすべてに影響する脆弱性を保護する利点があります。

理論から実践へ

そのような協力は法律専門家の懸念を引き起こす可能性があります。競争法に関する問題が考えられます。それでも、麝牛アプローチはサードパーティのリスク状況を大幅に改善し、企業がサードパーティリスクをより効果的に管理するのに役立つ可能性があります。

これは、例えば、以下のように見えるかもしれません：

1. 最も懸念されるサードパーティを特定し、「ホットリスト」を作成してください。
2. 他の企業と情報交換して、このリストを調べ、共通の候補者を特定してください。
3. これらのプロバイダーの共同「保護シールド」について交渉してください。

同じアプローチについて、FS-ISACでも将来の可能性のある方法として議論しました。最初の2つのステップは実装するのが比較的簡単です。3番目のステップははるかに多くの労力が必要ですが、決定的な違いをもたらします。これを実装するための実践的なアプローチは、大規模な企業がリーダーシップの役割を担い、小規模な企業をその傘下に置くことかもしれません。

麝牛戦略にも限界があることを忘れずに：クマに襲われると、麝牛も逃げてしまいます。その時点では、誰もが自分自身に頼っています。これはサイバーセキュリティにも当てはまります。敵が強力であるほど、攻撃は生存をかけた戦いに変わる可能性が高くなります。ただし、この戦略がすべてのシナリオに適用できない場合でも、私たちの集合的なリスクを大幅に減らすことができます。(fm)