サードパーティのサプライチェーンリスクは、オーストラリアのサイバーセキュリティ専門家にとって重要な懸念事項です。企業は通常、相互接続されたシステム(多くの場合、サプライヤーのサプライヤー)の拡大するネットワークに依存しているため、セキュリティを確保するためのデータ管理を維持することが困難になっています。
テッセレント社のCEO、カート・ハンセン氏は、セキュリティ専門家はあらゆるビジネス活動を把握するために、強力なガバナンスとプロセスを必要としていると述べた。さらに、地政学的緊張が組織のサプライチェーンに深刻な混乱をもたらす可能性があることを、より意識する必要があると付け加えた。
ASIC、オーストラリアにおけるサードパーティサプライチェーンのリスクが重大な欠陥であることを明らかに
オーストラリア証券投資委員会(ASIC)は、2023年11月に実施したビジネスサイバーパルス調査で、「重要なサイバー機能のサイバーセキュリティリスク管理におけるギャップ」を明らかにしました。ASICはデジタルサプライチェーンを、改善が必要な第一の分野として挙げました(図A)。
調査対象となった697の参加組織のうち44%が、サードパーティまたはサプライチェーンのリスク管理について全く対策を講じていないことが明らかになりました。これは、「サードパーティとの関係によって、脅威アクターが組織のシステムやネットワークに容易にアクセスできる」にもかかわらずです。
例えば、ベライゾンの2022年データ侵害調査報告書によると、システム侵入イベントの62%がパートナー企業を通じて発生したことが明らかになりました。報告書では、適切なパートナー企業への侵入はサイバー犯罪者にとって「戦力増強」となり、サプライチェーンのセキュリティ確保の難しさを浮き彫りにしていると指摘しています。
「組織は社内ネットワークとITインフラに対して強固なサイバーセキュリティ対策を講じることができます。しかし、こうした取り組みを第三者にまで広げなければ、サプライチェーンの脆弱性にさらされることになります」と、ASICの調査はオーストラリア企業に警告を発しています。
最近のオーストラリアのサイバー侵害は、サードパーティベンダーの悪用によるものだった。
オーストラリア史上最大の情報漏洩被害を受けたLatitude Financialは、大手サードパーティベンダーを通じて攻撃者によるアクセスを受けました。攻撃者はLatitudeの従業員のログイン認証情報を入手し、他の2つのサービスプロバイダーの情報を窃取したと報告されています。
書店ダイモックス社は、120万人の顧客データが盗まれダークウェブ上で公開された侵害の原因として、外部データパートナーの名前を挙げた。ダイモックス社は、この侵害はパートナーのセキュリティ対策にもかかわらず発生したと述べた。
テッセレント氏は、組織は依然として「進歩的な旅」の途中にあると述べている。
テッセレント社のハンセンCEOは、オーストラリアの企業はサードパーティのサイバーリスク管理において「進歩的な道のり」にあると述べた。オーストラリアは欧州や米国ほど成熟していないかもしれないが、特に大規模組織はこのリスク管理において先進的であると述べた。
「4、5年前から、特にサードパーティリスクを綿密に監視する大規模組織を対象に、評価の実施が増え始めました」とハンセン氏は述べた。「当時、サプライヤーがリスク評価に合格したり、ISOやNISTの認証を取得したりできるよう、多くの支援を行ってきました。」
ハンセン氏によると、その後、オーストラリア政府はエッセンシャル・エイト・フレームワークを展開し、地元組織の焦点となったという。焦点が他の分野に移ったため、サードパーティリスクに関する「騒ぎや騒ぎ」は以前ほど見られなくなったという。
第三者による侵害のリスクがある中小規模の組織
ハンセン氏は、サードパーティのサプライチェーンにおけるサイバーリスクへの対応は、多くの場合、組織の規模に左右されると述べた。銀行や小売業といった業界の大手企業は、サプライチェーンがサイバーリスクに対して強靭であることを確保することで、サプライチェーンリスクを適切に管理しているとハンセン氏は述べた。
「銀行や政府は長年サイバー対策に取り組んできました。しかし、組織の規模という点で、フードチェーンの下位になるほど、より重点的に取り組む必要があるのではないかと考えています」とハンセン氏は述べた。
ハンセン氏は、小規模で中規模市場の機敏な組織はサイバー関連業務にそれほど長く携わっておらず、アウトソーシングに熱心であると述べた。
「彼らはそれを把握しているでしょうか?彼らはそれを理解していることを確認する必要がありますが、多くの場合、組織内にそれを理解している人がいない可能性があります」とハンセン氏は述べた。
APRA基準は、第三者および第四者のサプライヤーに焦点を当てる
オーストラリア健全性規制機構の基準 CPS 234 および CPS 230 により、APRA の規制対象となる事業体では、サードパーティおよびフォースパーティのサービス プロバイダーの使用に関連するリスクを評価し、それらのリスクを最小限に抑える対策を実施することに重点が置かれるようになりました。
データは重要なリスクだが、地政学的緊張が混乱を招く可能性がある
サードパーティおよびサプライチェーンのリスク管理において、データは最大のリスク源となります。企業が個人識別情報の取り扱いをサードパーティに委託している場合でも、そのデータは依然として企業に責任があり、万が一データに何らかの問題が発生した場合は説明責任を負うことになるからです。
参照: オーストラリアのサイバー セキュリティ戦略は、データ サイエンスの厳密さの向上から恩恵を受けることができるでしょうか?
法律事務所ミンターエリソンは、3つの最大のリスクを次のように挙げています。
- データ侵害により、データが権限のない個人に公開される可能性があります。
- マルウェアは、感染したソフトウェアや悪意のあるコードを組織内に持ち込みます。
- サードパーティのソフトウェア内の修正されていない脆弱性。
地政学が重大な混乱リスクをもたらすとテッセレント氏は言う
テッセレント社のハンセン氏は、誰もが重要なデータに注目している一方で、オーストラリアの組織が活動することになる地政学的世界は、現在は注目されていないリスクをもたらす可能性があると述べた。ただし、そのリスクは将来、組織のサプライチェーンに大きな影響を与える可能性がある。
「地政学的な意味で我々が向かっている世界について考え、我々のような西側諸国が抱える敵について考えれば、サプライチェーンにおける将来の最大の課題の一つは、その混乱であると考えるだろう」とハンセン氏は語った。
緊張や紛争が発生した場合、敵対勢力は小売店、銀行、航空会社などの重要インフラを混乱させる可能性があります。ハンセン氏は、「ボタンを押すだけで利用できると期待されているあらゆるサービス」に問題が生じれば、社会や政治指導者への信頼が失われる可能性があると述べました。
サプライチェーンリスク管理の鍵は人材、プロセス、テクノロジー
テッセレント氏によると、サイバーリスク管理に「特効薬」は存在しない。これにはサードパーティのサプライチェーンリスクも含まれる。組織は、人材、プロセス、テクノロジーという3つの領域に継続的に焦点を当て、改善に取り組む必要がある。
「何かテクノロジーを導入すれば安全になると考えるなら、そうではありません」とハンセン氏は述べた。「これは継続的な取り組みです。水中にサメがいる時、一番遅い泳ぎ手にはなりたくありません。変化し続ける環境の中で、速く、機敏に泳げなければなりません。」
すべてのビジネス活動における第三者の関与を理解するために監査を実施する
サイバーセキュリティチームが重点的に取り組むべき点の一つは、事業全体で行われている、サードパーティサプライヤーが関与するすべての活動を把握することです。ハンセン氏によると、サイバーセキュリティチームはこれらの事業活動のすべてをまだ把握できていないことが多いとのことです。
「組織内の各部署には、それぞれ異なるサプライヤーが存在することがよくあります」とハンセン氏は述べた。「マーケティング部門や営業部門がそれぞれ異なるサプライヤーと契約している場合もあります。こうした事業活動の内容を完全に把握していなければなりません。しかし、(サイバーセキュリティチームは)その知識が不足しているか、あるいは後から参加させられることが多いのです。」
第三者向けの文書化されたガバナンスプロセスに従う
オーストラリアの組織、特に中規模市場でリスクの高い組織は、第三者機関を管理するための強力なプロセスの構築に重点を置くべきです。ハンセン氏は、このプロセスは十分に文書化され、認証、評価の実施状況、そしてアウトソーシングの有無などを含むべきだと述べました。
「重要なのは、適切なガバナンスとプロセスを構築し、支援方法を知っている人材を擁することです」とハンセン氏は述べた。サイバーセキュリティ専門家のサポートを活用するITチームは、取締役会や経営幹部にリスクを認識させ、セキュリティギャップに対処するための予算を確保しやすくなる。
地政学的緊張がサプライチェーンを危険にさらしているかどうかを検討する
組織は、純粋なデータ セキュリティを超えて、地政学的問題によるビジネスの混乱が将来のサプライ チェーンを危険にさらす可能性があるかどうかを評価する必要があります。
「私たちが向かう世界とその地政学的性質を考えると、地政学的緊張が悪化した場合、国家として抱えるリスクが商業組織にどのような影響を与えるかを十分に強調することはできない」とハンセン氏は述べた。「サードパーティのサプライチェーンへの依存は、ビジネスモデルが潜在的にリスクにさらされることを意味するため、この分野では警戒を怠らないことが非常に重要だ。」
