NRIセキュアテクノロジーズ(以下、NRIセキュア)は、外部委託先を始めとしたサードパーティの全体像の把握とリスク評価・管理を行う、「サードパーティ・サイバーセキュリティ・デューデリジェンスサービス」の提供を5月20日に開始した。
同サービスは、これまで買収対象の企業に対して実施されることが多かったサイバーセキュリティ・デューデリジェンスを、既存・新規の外部委託先などのサードパーティに対して実施。そのうえで、自社を取り巻くサードパーティにおけるサイバー攻撃への耐性強化を目的とした、セキュリティ対策の実施を支援するという。
同サービスの主な特徴は、次のとおり。
1. 膨大なサードパーティの中から評価・管理が必要な対象を選定
セキュリティ耐性強化のためには、外部委託先だけではなく、システムの連携先もサードパーティのリスク管理対象として含める必要がある。そこで同サービスでは膨大な数のサードパーティの中から、サイバーセキュリティ・デューデリジェンスを行う対象の選定にかかる評価軸の導出を支援するという。
2. 目的に沿った評価方法を選択・提案
サイバーセキュリティ・デューデリジェンスを行う目的に応じて、アンケート形式でのヒアリングや、公開情報を元にした情報流出の調査手法である「OSINT」、未対処な脆弱性からリスクを定量的に評価する「セキュリティスコアレーティング」など、最適な方法を提案。さらに、実行までを支援する場合には、NRIセキュアのセキュリティコンサルタントが導入企業の評価チームの一員となり、サードパーティとの契約締結開始・継続時にリスク評価を実施することもできる。
3. サードパーティ管理における相談窓口を常設
リスク評価・管理を一度行った後も、相談窓口を常設することで、サードパーティ管理における改善活動の中で浮上した課題に対し、対策のアドバイザリなどを継続して実施することができるという。なお、継続的なサイバーセキュリティ・デューデリジェンスを行わない場合にも、サービス提供は可能とのことだ。
サードパーティ・サイバーセキュリティ・デューデリジェンスサービスの支援範囲
[画像クリックで拡大]
【関連記事】
・サイバーセキュリティ業界での女性進出に進展も、様々なギャップと未解決課題が浮き彫りに【ISC2調査】
・三井物産、米国のサイバーセキュリティ事業に参入 Redpoint Cybersecurityを関連会社化
・デロイト トーマツ サイバーとJFEスチール、合弁会社「JFEサイバーセキュリティ&ソリューションズ」設立
