ハイライト
オープンイノベーションに潜む脅威をシャットアウト
デジタルテクノロジーを活用したオープンイノベーションが急速に普及する一方で、ビジネスを支えるエコシステムを的確に把握し、効果的に管理することが非常に難しくなっています。従来のサプライヤー関連のインシデントでは、被害を受けた企業は侵害の兆候を特定し、対応する過程で顧客への安全性の説明に忙殺され、影響範囲の特定や迅速な顧客への案内ができない状態でした。こうした脅威に対し、セキュリティ評価やモニタリングを行う企業では、人工知能や機械学習を活用し、異常な動作をモニタリングする支援を開始しています。
新たなエコシステムにおけるセキュリティリスクの管理
サプライチェーンのリスクを評価するには、サプライチェーン内を移動するデータフローの理解が重要です。しかし、エコシステムにおけるデータフローはますます複雑かつ不透明になっています。エコシステムにおけるセキュリティリスクの管理には、次の4点を明確にすることが重要です。
- エコシステムにおける組織の位置付け
- データ共有
- クラウドのセキュリティ
- リスクの交錯
サードパーティの先まで拡大するサプライヤーリスク
組織は所持する顧客データの共有範囲の把握に苦心していますが、懸念は2次請けサプライヤーに留まらず、サプライチェーンによっては3次請け、4次請け、さらにその先のサプライヤーにまで及んでいます。ほとんどの業界ではこうした課題に対する解決策を見いだせていませんが、以下に示すような業界全体でのイニシアティブを組み合わせたものが解決策に含まれるでしょう。
- 規制上の監視に関する新しい考え方
- 目指すべき道はコラボレーションの拡大
- セキュリティ評価・モニタリング機能の適用
- クラウドに保存されるデータの管理
より緊密なコラボレーションとつながりの構築
ニューノーマル下でイノベーションとコラボレーションしていくには、データとサプライヤーのエコシステムへの統合を簡単かつ混乱させることなく実行する必要があります。
組織のデータ環境は外側に拡張していく可能性があるため、以下に示す事項を検討する必要があります。
- 組織は今後、サプライチェーン内を流れる顧客データの動きをどのように把握するか
- 将来のデータフロー図はどのようなものになるか
- エアギャップの役割を果たすサードパーティAPIの層が顧客との間に介在する可能性があるなか、企業はどのようにして不正防止やマーケティングを目的とした顧客行動のモニタリングを行うか
データセキュリティとプライバシーについてより賢明な選択を
欧州連合の一般データ保護規則(GDPR)などの新たな規制が世界各地で導入されたことで、消費者や従業員は、企業が収集または購入したデータに対し、可視性、透明性、管理を要求する法的権利を獲得しています。消費者は利用する企業やサービスのよりよい選択が可能になりつつありますが、企業側はこうした権利を適時かつ正確に充足させることが困難です。要因として以下の2点が挙げられます。
- きわめて困難な性質
- 企業文化と方針
規制当局が進歩を促す好機の到来
サードパーティリスク管理やセキュリティに関する規制が急速に進展し、新たな規制が地域・国レベルで施行されていますが、目的はリスク管理について指針を示し、明確化することにあります。コロナ禍により、政府や規制当局が、業界のエコシステムにおける単一障害点を特定する方法や、壊滅的なサイバー攻撃に対する業界のレジリエンスを高める方法について全体的な視野を持つことの重要性が明らかになっています。
エコシステムの進化に向けた協力
最新テクノロジーの役割
新しいサードパーティリスク評価モデルには、システムからデータを取り込み、処理し、学習する最新のテクノロジーが必要です。統制に対する継続的なモニタリング、脅威インテリジェンス、機械学習におけるイノベーションにより、課題に対処する新たな扉が開かれるでしょう。
法令上の枠組みの改善
新しいエコシステムに基づくサイバー環境では、法令上の枠組みを改善し、可視性の低下や責任の増大につながることの多い監督官庁の考慮事項を減らす必要があります。
