ブログ記事

TPRM(サード パーティ リスク管理)とは?サイバー攻撃と防御策

目次

  1. なぜTPRM(サード パーティ リスク管理)は重要なのか

  2. TPRM(サード パーティ リスク管理)から得られる利点

  3. TPRM(サード パーティ リスク管理)のプロセス

  4. TPRM(サード パーティ リスク管理)の方法

  5. TPRM(サード パーティ リスク管理)における課題

  6. TPRM(サード パーティ リスク管理)プラットフォーム

  7. まとめ

TPRM(サード パーティ リスク管理)とは、外部のビジネス パートナーやベンダーに起因するリスクを組織が特定、評価、制御するプロセスです。この取り組みは、リスク管理の範囲を組織内部のユーザーにとどめず、脆弱性が存在し得るあらゆるエコシステム全体へと拡張し、すべてのユーザー ライフサイクルを通じて包括的に対応します。

非正規社員を対象に、リスクベースのアイデンティティ(ID)アクセス管理およびライフサイクル戦略を実行する方法をご覧ください。

サード パーティ リスク管理は、潜在的なサイバー脅威に対する可視性を高め、あらゆる脅威ベクトルとなり得る、または将来的になり得るあらゆる主体にガバナンス ポリシーを適用することで、リスクの低減と攻撃の防止を支援します。この取り組みには、サード パーティ リスクを確認し、その軽減を求めるためのプロセスや手順が含まれます。

サード パーティ リスク管理で対処すべき脅威は、サイバー セキュリティの領域を超えている点に留意することが重要です。これには、労務上の問題、法令や規制の不遵守、監査上の不備など、組織に損害を与える可能性のあるその他の脆弱性も含まれます。これらの脅威はサイバー攻撃者によるものとは性質が異なりますが、組織に重大な悪影響を及ぼし、深刻な損害を招く可能性があります。

なぜTPRM(サード パーティ リスク管理)は重要なのか

DXの進展と、ビジネス遂行におけるサード パーティ活用の拡大により、サード パーティ リスク管理の重要性は一段と高まっています。これは、企業と接続される外部主体の数が飛躍的に増加しているためです。サプライ チェーン関連のベンダーやパートナーから、クラウド サービス プロバイダー、SaaSソリューションに至るまで、サード パーティ リスク管理は、サイバー脅威から組織を守るうえで欠かせない要素となっています。

サード パーティ リスク管理は、この拡大し続けるエコシステムの実行可能性とセキュリティを確保する上で役立ちます。サード パーティ リスク管理が不可欠である理由は数多くありますが、その主なものは次のとおりです。

  • 各種法令、規制、基準へのコンプライアンス遵守
  • オペレーション中断のリスク軽減
  • 自然災害に備えた緊急時対応計画
  • データ保護
  • 財務健全性
  • ITおよび物理セキュリティ システムとプロセスの保護
  • 地政学的問題や危機(戦争や社会不安など)発生時の事業継続計画
  • 事業およびサプライ チェーンの継続性確保
  • 評判とブランド イメージの保護

サード パーティに起因するリスク

サード パーティが組織にもたらすリスクには、さまざまな形があります。リスクがコンプライアンス違反など特定の領域に限定される場合もありますが、多くの場合は複数の領域に影響が及びます。

あらゆる組織がサイバー攻撃の被害者となる可能性がありますが、攻撃者は、標的とした組織と取引関係のあるサード パーティのうち、その組織と同等のセキュリティ体制を備えていないサード パーティを狙う傾向があります。

サード パーティが侵害されると、それを足掛かりにして、より価値の高い標的へアクセスされる可能性があります。

一例として、データ侵害が挙げられます。これは、コンプライアンス違反、財務面および評判への損害、事業中断など、複数のリスク カテゴリに関わる事象です。このように、一部のサード パーティ リスクは、企業に対して複数の側面から影響を及ぼす可能性があります。

データ侵害は、複数のリスク カテゴリにまたがる重大なリスクの一例です。根本的な原因はサイバー セキュリティ上の脆弱性にあり、データ侵害には次のような領域におけるリスクが含まれます。

  • コンプライアンス遵守
    サード パーティにおけるセキュリティ制御の欠如は、法令違反や、コンプライアンス要件を満たせない事態を招くおそれがあります。法規制遵守リスクは、サービス、製品、またはプロセスが、法令、規則、規制、ポリシー、あるいは倫理基準で定められた最低基準を満たさない場合に発生します。
  • 財務
    サード パーティによって組織の財務状況が損なわれる可能性がある場合、それは財務リスクに該当します。このリスクには、サード パーティが基準を満たさない成果物を納品するケースや、組織で使用される部品に欠陥がある場合などが含まれます。財務リスクには、罰金や訴訟費用なども考えられます。
  • オペレーショナル
    オペレーショナル リスクとは、サード パーティの要因によってオペレーションが停止するリスクを指します。これは、人員、プロセス、またはシステムの不備や機能不全によって生じる場合があります。また、自然災害への備えが不十分なサード パーティに起因するケースも、オペレーショナル リスクに含まれます。
  • 風評被害
    風評被害 リスクとは、サード パーティとの関係を原因として、否定的な世論や評価が組織へ波及することで生じるリスクを指します。これには、法的問題、情報漏洩、顧客体験の悪化、コンプライアンス違反などに起因する影響が含まれます。
  • トランザクション
    IT分野におけるトランザクションとは、処理方法を指します。サード パーティによるサービスまたは製品の提供に問題が生じた場合、トランザクション リスク、つまり処理が実施されない可能性があります。また、サード パーティの業務遂行力低下、技術的な問題、または人的エラーによって期待どおりのパフォーマンスが得られない場合にも、同様のリスクが生じます。

TPRM(サード パーティ リスク管理)から得られる利点

  • サービス水準、パフォーマンス、財務健全性、セキュリティ体制を監視する機能
  • 意思決定の精度向上と迅速化を実現する情報へのアクセス
  • 有益なインサイトとデータを活用した意思決定の精度向上
  • サード パーティが適切なスキルとクレデンシャルを持つ人材を起用していることの保証
  • 規制要件へのコンプライアンス
  • サード パーティによるネットワーク、アプリケーション、機密データへのアクセス制御
  • サード パーティに起因するリスク要因に対する可視性と管理体制の強化
  • リスク管理による透明性と説明責任の促進を通じたベンダーのパフォーマンス向上
  • 不正行為の検知と防止
  • ステークホルダー(投資家、規制当局、ビジネス パートナーを含む)からの信頼確保

TPRM(サード パーティ リスク管理)のプロセス

サード パーティ リスク管理のプロセスは、各サード パーティのライフサイクル全体を中心に展開されます。以下では、初期の契約段階からオフボーディング(取引終了)までの各段階における考慮事項を示し、サード パーティ リスク管理およびガバナンスを紹介します。

プロセス

簡潔な説明

① リスク測定システム構築

デュー・デリジェンスのためにリスク基準を設定し、想定リスクを評価する仕組みを構築。

② リスク把握・評価

サードパーティの業務内容とリスクを分析し、スコア化。アンケートや外部データも活用。

③ アクセス権限の分類

リスクスコアに基づき必要なアクセス権限を整理し、サードパーティの完全なインベントリを作成。

④ データガバナンス連携

ガバナンスツールと連携し、整理・問題検出・主要フレームワーク(ISO/NIST/SOC2)への準拠を支援。

⑤ ベンダーオンボーディング

契約書にリスク対応条件を明記し、必要な保護措置を確実に実施できる体制を整備。

⑥ 継続監視・監査

リスクを定期評価し、サードパーティ情報(サイバー情勢・財務・制裁リスト等)を継続的に監視。

⑦ インシデント/緊急対応計画

障害・契約終了時でも事業継続できるよう、インシデント対応と緊急対応計画を策定。

⑧ SLA・パフォーマンス監督

サードパーティのサービス品質とコンプライアンス履行状況を測定・監督。

⑨ オフボーディング

契約終了時に成果物確認、精算、システム・データ・建物のアクセス権削除を実施。

⑩ 新規サードパーティの再実施

新しく加わるサードパーティにも同じ管理プロセスを適。

⑪ 継続的改善

経験・新たな脅威・規制変更に基づき、プロセスを定期的に見直し改善。

以下、それぞれのステップを解説します。

サード パーティ リスク測定システムの構築:潜在的なサード パーティとの関係に対するデュー デリジェンスを支援するための仕組みを構築します。この取り組みでは、セキュリティ、プライバシー、災害復旧システムなどの分野において、想定されるリスクを自社の許容リスク水準と照らし合わせて評価します。この段階で、リスクの基準値が確立されます。

リスクの把握:特定の業務や機能をサード パーティに委託する際に伴うリスクを把握し、測定ツールを使用してリスク プロファイルを評価し、リスク スコアを割り当てます。このサード パーティ リスク管理の段階では、サード パーティにアンケートを実施したり、ベンダー インテリジェンス データベースを参照したり、またはその両方を組み合わせたりする方法が一般的です。評価を行う際は、事業継続においてサード パーティが依存している下請け業者やその他の外部委託機能も対象に含めることが重要です。

サード パーティと必要なアクセス権限の分類:これはリスク スコアに基づいて実施します。すべてのサード パーティ(非正規社員を含む)について、リスク スコアおよび担当業務の遂行に必要な情報へのアクセス内容を一覧化し、完全なインベントリを作成することが重要です。

サード パーティ リスク管理ソリューションは、データ ガバナンス ソリューションと組み合わせて活用されることが一般的です。これにより、サード パーティ関連データの整理、潜在的な問題の特定、そしてISO(国際標準化機構)、NIST(アメリカ国立標準技術研究所)、SOC 2(サービス組織管理基準タイプ 2)などの主要なセキュリティ フレームワークや規制へのコンプライアンスを確保できます。

リスク評価完了後のベンダー オンボーディング:オンボーディングの一環として、契約書にはリスク対応に関する条件を盛り込み、リスクに対処するための保護措置をどのように確実に実施するかを明示する必要があります。

継続的なベンダー監視と監査:サード パーティのシステム、プロセス、そして行動は変化する可能性があり、それによって新たなリスクが生じることがあります。そのため、定期的なリスク評価と継続的な監視を行うことが重要です。サード パーティ リスク管理ソリューションは、継続的なサード パーティ インテリジェンスの外部ソースを活用し、評価結果を外部の観察データと照合することで、このプロセスの多くを自動化します。これには、次のようなものが含まれます。

  • サイバー インテリジェンス
  • 事業最新情報
  • 財務報告書
  • メディア調査
  • 国際制裁リスト
  • 国有企業調査
  • 外国公職者調査
  • 侵害イベント通知

インシデント対応および緊急時対応計画:サード パーティとの関係に起因する障害や契約終了が発生した場合でも事業継続を確保できるよう、インシデント対応および緊急時対応計画を策定する必要があります。

サービス品質保証(SLA)とパフォーマンス監督:これらに関する測定は、サード パーティ リスク管理ソリューションで対応することができます。その機能には、パフォーマンスおよびコンプライアンス義務の履行状況を確認するための評価やモニタリング機能が含まれます。

オフボーディング(取引終了)と契約終了:これらは非常に重要でありながら、見落とされがちなプロセスです。サード パーティ リスク管理プロセスにより、サード パーティを適切にオフボーディングするための包括的な評価が確実に実施されます。このプロセスには、契約に基づく成果物の確認や請求書の精算から、システム、データ、アプリケーション、建物へのアクセス権限の削除まで、あらゆる手順が含まれます。

新たなサード パーティごとのプロセス再実施:サード パーティ リスク管理は継続的なプロセスであり、すべてのサード パーティのライフサイクル全体を通して適用する必要があります。

継続的な改善:これまでの経験から得た教訓、新たに出現する脅威、規制環境の変化に基づき、組織のサード パーティ リスク管理プログラムを定期的に見直し、改善を重ねます。業界のベスト プラクティスを常に把握し、それに合わせてプロセスを適応させることが重要です。

TPRM(サード パーティ リスク管理)の方法

サード パーティ リスク管理には、エコシステム全体の理解が求められます。サード パーティ ベンダーにはさまざまな種類があり、クラウド ホスティング プロバイダー、クラウドベース/SaaSソフトウェア ソリューション、ビジネス パートナー、サプライヤー、契約社員、派遣社員、代理店、そして税務専門家、公認会計士、コンサルタント、弁護士などの専門サービス プロバイダーが含まれます。

効果的なサードパーティリスク管理ソリューションは、以下のような機能を提供することで支援します。

  • すべてのサード パーティとの関係および契約の一元化による可視性の確保
  • リスク管理およびリスク軽減に関する契約条件と規定
  • 4つの当事者(下流ベンダー、サプライヤー、契約社員など)の特定と評価
  • オンボーディング前にサード パーティを評価するためのプロセス
  • サード パーティのオフボーディング サポート
  • サード パーティ リスクの管理と監視

サード パーティの評価

評価は、サード パーティのライフサイクル全体を通して継続的に実施する必要があります。ただし、オンボーディング前には詳細な評価を行うことが重要です。サード パーティを評価する際に検討すべき主な質問は以下のとおりです。これらの質問に対する回答は、サード パーティ リスク管理システム内で整理・管理できます。

  • サード パーティはどのような種類のデータやアプリケーションにアクセスしていますか?
  • サード パーティは、業務の遂行に必要な情報のみにアクセスしていますか?
  • サード パーティは、建物や保管エリアへの物理アクセスを持っていますか?
  • サード パーティの可用性が損なわれた場合、どのような影響が生じますか?
  • サード パーティがアクセスした情報が漏えいした場合、組織にどのような影響が及びますか?
  • サード パーティがアクセスするデータを保護するために、どのようなポリシー、手順、およびプロセスが整備されていますか?
  • クラウド サービスおよびアプリケーション プロバイダーのセキュリティ アーキテクチャは、コンプライアンス要件を満たしていますか?
  • サード パーティには、定期的なセキュリティ テストおよび監査を実施するためのプロセスが整備されていますか?
  • サード パーティは、SOC(Service Organization Controls)レポートやPCI DSS(Payment Card Industry Data Security Standard)レベル1権限審査(ID棚卸)などの法規制遵守に関する検証を受けていますか?
  • サード パーティは、どの法規制基準に対応していますか?
  • サード パーティは、セキュリティ、プライバシー、およびレジリエンスに関する条件を定めた契約を下流ベンダーと締結していますか?
  • サード パーティには、災害復旧および事業継続計画がありますか?
  • サード パーティには、組織が所有するすべての資産とデータを安全に返却するための適切なポリシーと手順がありますか?

サード パーティ ベンダーによる提出が推奨される書類には、次のようなものがあります。

  • サード パーティ ベンダーの経営陣に関する資格・経験の詳細
  • 雇用に関する各種ポリシー(特に機密データを取り扱う従業員に関するもの)
  • 財務の健全性を証明する情報(監査済み財務諸表、年次報告書、米国証券取引委員会(SEC)への提出書類など)
  • サービスおよび品質基準に関する情報
  • サード パーティ ベンダーが利用している他の関係者または下請け業者の一覧
  • 予期しない中断が発生した場合のサービス再開計画
  • 提案された活動を実施および監視する能力を示す証拠
  • サード パーティ ベンダーに対する重大な苦情、訴訟、または規制当局の措置に関する記録
  • データ セキュリティおよびプライバシー保護を確保するための内部統制とシステムの範囲、および監査対象範囲

TPRM(サード パーティ リスク管理)における課題

一般的に挙げられるサード パーティ リスク管理の課題には、次のようなものがあります。

  • サード パーティに対するデュー デリジェンスの実施が煩雑かつ複雑
  • すべてのサード パーティを網羅した一覧を作成・維持することが困難
  • 問題に関するコミュニケーションの管理が困難
  • 新たなサード パーティのオンボーディングには、社内外の関係者との連携が必要なため、多くの時間を要する
  • 多様かつ数多くのコンプライアンス要件への対応を求める規制の増加
  • サード パーティ リスク管理に割り当てられるリソースの不足
  • ポリシーに関する認識およびトレーニングほとんど、またはまったく行われていない
  • 複数のプロセスを継続的に監視および評価する必要がある
  • サード パーティ監視プロセスが構造化されていない
  • スプレッドシートやアンケートを用いた手作業による対応では拡張が難しく、非常に多くのリソースを要する作業
  • 国や文化的背景の異なるサード パーティと協働する際には、文化やコミュニケーションの違いが生じる場合がある
  • リスク環境は動的で、絶えず進化を続けている

TPRM(サード パーティ リスク管理)プラットフォーム

組織固有のニーズに対応するため、汎用型から業界特化型まで、さまざまなタイプのサード パーティ リスク管理プラットフォームが提供されています。これらのプラットフォームは、サード パーティ リスクの評価、監視、報告、および修正の実施に活用されます。

サード パーティ リスク管理プラットフォームに備わる主な機能には、次のようなものがあります。

  • サード パーティ リスク管理の記録システムとして機能
  • ワークフローの自動化
  • リスク領域に特化したデータおよびインサイト サービスとの統合

まとめ

サード パーティ リスク管理を着実に実施する取り組みは、関係者すべてに利点をもたらします。この取り組みにより、脆弱性が問題化する前に対処可能な弱点を事前に特定できます。効果的なサード パーティ リスク管理を実現するための継続的な努力は、望ましくない結果を最小限に抑え、副次的に効率性と生産性の向上にもつながります。

サード パーティ リスク管理プラットフォームに関するよくある質問

サード パーティ管理ソリューションとは何ですか?
これらは、サード パーティ リスク管理のプロセスや機能を自動化する目的で設計されたテクノロジーおよびシステムです。サード パーティ リスク管理ソリューションは、オンプレミス環境で運用される場合もあれば、エンタープライズ向けSaaSプラットフォームとして提供される場合もあります。

セキュリティ評価サービス(SRS)とは何ですか?
これらは、リスク分析やスコアリングを支援するためのデータを提供する、サード パーティ リスク管理ソリューション向けのサブスクリプション サービスです。

サード パーティ リスク管理プラットフォームを導入する際に考慮すべき主要なステークホルダーは誰ですか?
社内のステークホルダーには、経営層(CEO、CFO、CIO、COO、CISOなど)、法務顧問、取締役会メンバー、内部監査担当者、関連部門の責任者が含まれます。社外のステークホルダーには、ベンダー、パートナー、規制当局、および顧客が含まれます。

サード パーティ リスク管理は優先事項にすべきですか?
はい。脅威の範囲が拡大し、複雑化し続けている現在、サード パーティ リスク管理は最優先事項にすべき取り組みです。 その優先度は、組織のエコシステム内に存在するサード パーティの数や種類によって異なります。

サード パーティ リスク管理プラットフォームで追跡できるベンダーやパートナーには、どのような例がありますか?

  • クラウド サービス プロバイダー
  • 財務管理サービス
  • IT管理サービス
  • 給与計算サービス プロバイダー
  • ソフトウェア ベンダー
  • 人材派遣会社
  • サプライヤーおよび契約社員
  • 税務専門家
  • マーケティングおよび広告代理店
  • 提携医療従事者、トラベル ナース、学生、ボランティア
  • 合併・買収対象企業
  • チャネル パートナーおよび再販業者

サード パーティ コンプライアンスとは何ですか?
サード パーティ コンプライアンスとは、サード パーティが組織、標準化機関、政府によって定められたルールや規制を遵守していることを確保する取り組みを指します。

公開日: 2025年11月22日読了目安時間: 7 分
サードパーティのリスク

お問い合わせ

SailPoint Identity Security Cloudの
詳細をご希望ですか?

DX時代の先進的な企業が、アプリケーションやデータの安全な利用を、スピードと拡張性を持って管理・保護するという課題に、SailPointのソリューションがどのように対応できるのかご紹介します。

お問い合わせ