NRIセキュアテクノロジーズは2024年5月20日、セキュリティコンサルティングサービス「サードパーティ・サイバーセキュリティ・デューデリジェンスサービス」を提供開始した。これまで買収対象の企業に対して実施することが多かったセキュリティリスク評価を、外部委託先などのサードパーティに対して実施する。
NRIセキュアテクノロジーズの「サードパーティ・サイバーセキュリティ・デューデリジェンスサービス」は、これまで買収対象の企業に対して実施することが多かったセキュリティリスク評価を、外部委託先などのサードパーティに対して実施するサービスである。サービスの提供を通じて、攻撃への耐性を高めるためのセキュリティ対策を支援する(図1)。
図1:「サードパーティ・サイバーセキュリティ・デューデリジェンスサービス」の支援範囲(出典:NRIセキュアテクノロジーズ)拡大画像表示
提供の背景として、グローバル化やアウトソーシングなどが進み、サプライチェーンが拡大・複雑化していることを挙げる。「外部委託先、システム連携先、協業先といったサードパーティのセキュリティ対策不足が自社のリスクになる。サイバーセキュリティリスクの観点でサードパーティを管理・評価することが重要になっている」(同社)。
同サービスは、膨大な数のサードパーティの中から評価対象を選定するための評価軸の決定を支援する。そのうえで、リスク評価の目的に応じて適切な方法を提案する。サードパーティとの契約締結開始・継続時に、NRIセキュアのコンサルタントが評価チームの一員としてリスク評価を実施することも請け負う。
評価方法の例には、アンケート形式でのヒアリング、「OSINT」(公開情報を元にした情報流出などの調査手法)、「セキュリティスコアレーティング」(未対処な脆弱性などからリスクを定量的に評価)などがある。
リスク評価・管理を一度行った後も要望があれば、オプションとして相談窓口を常設し、サードパーティ管理における改善活動の中で浮上した課題に対し、対策のアドバイザリーなどを継続して提供する。
