1.はじめに
サードパーティのリスク管理(TPRM)に対する要求は急増しており、対象範囲を拡大すると同時に、洞察を深める必要性が浮き彫りになっています。近年の技術革新は新しい可能性を生み出しましたが、これらの進歩は従来の調査ベースのプロセスを自動化したものであるため、真に必要とされている変革を実現するに至っていません。今後5年間で、標準的なビジネスプロセスは大規模かつ革新的な変化を遂げると想定されるため、プロアクティブな思考と行動がより一層必要となります。
急速に変化するニーズに対応するためには、技術と第一原理の考え方を組み合わせることで、サードパーティにおけるリスクの特定、リスク評価と優先順位付けおよびリスクを軽減するための適切な行動をとる、といったサードパーティセキュリティの原点に立ち戻る必要があります。利用可能なサードパーティのデータを最も効果的に利用する方法を再考し、目的を明確に理解することで、前例のない結果をはるかに効率的に達成することが可能となります。
2.自動化による変革の価値を明らかに
新しい方向性を決定するには、まず既存のプロセスがどのような経緯を辿ったかを理解することが重要になります。これまでは、リスクを特定し、評価や管理のために利用するツールや規制およびコンプライアンス要件を考慮したうえで、調査ベースのアプローチを行うのが一般的な手法でした。サードパーティのリスク評価においては、調査票(アンケート)がセキュリティ管理を実施する際にサードパーティを評価するための標準ツールでした。
従来のアプローチにより、サードパーティのセキュリティが非常に重要であるとの認識が確立され、リスク評価の基準となる枠組みが構築されましたが、近年では複雑化し、組織内に独立して存在するプロセスも見られるようになりました。
さらに、リスク管理に取り組んだ結果、多くの場合はサードパーティが評価基準に対して「合格」または「不合格」かの結果はわかるものの、それ以外の詳細な評価結果が提供されることはありません。サードパーティの組織固有の財務状況やリスク環境などの文脈なしに、評価結果を収益と結びつけて、具体的なビジネス上の意思決定を行うことは困難です。したがって、このリスク評価プロセスは、最も関係の深い利害関係者にとっての真のリスク管理というよりは、チェックするための作業と言えるかもしれません。
だからこそ、これらのワークフローの自動化が求められるようになり、この分野へ最初に技術革新が適用されるようになりました。しかし、サードパーティの脅威状況は絶えず変化し、拡大していることから、最適なワークフローの自動化が行われていたとしても、従来のレガシープロセスでは対応しきれず、継続的なリアルタイムモニタリングへの移行が必要であると認識されるようになりました。規制当局ではすでにこの変化を予期していたかのような要件の変化もあり、それらに対応するためには今すぐ行動を開始する必要があります。
加速するサードパーティリスクを管理するための技術革新を実現させるには、コアプロセスを第一原理から見直し、対象範囲を拡大しつつ洞察力を深める必要があります。
3.データドリブンアプローチと適切なデータの特定
データ駆動型アプローチがどのような変化や結果をもたらすのかを理解するためには、他の領域を調べることが有効です。革新的なテクノロジーから生まれた新しいプロセスは、さまざまな業界において、これまで考えられなかったような価値をはるかに効率的に提供していることが明らかになっています。
いずれの業界においても、成功の主な秘訣は調査項目やトップダウンによる直感的な期待に基づく1対1の指標のみが考慮される従来の「直接データ」手法から離れることにあります。代わりに、メタデータのアプローチが採用され、アクセス可能なすべてのデータを先入観なしに分析することで、明確に定義された目的との相関関係の見極めが行われます。
近年の広告やマーケティング戦略における革命は、メタデータアプローチの概念を適用したことによる明確な結果として表れています。まず広告キャンペーンを立ち上げ、計画するといった従来のフォーカスグループ方式は今でも採用されているものの、これまでのような中心的役割ではなくなりました。
また、従来は、非常に大きな投資を要する「直接データ」プロセスを通じて顧客に関するデータ/インサイトを入手していました。これらのデータは各フォーカスグループで検討されたトピックにのみ限定されており、さらに、それらの情報をより広範な顧客層に向けて一般化することは困難でした。
現在、マーケターは潜在顧客のメタデータ(年齢、場所、検索履歴等)を用いて彼らの関心を予測し、最適な戦略を決定することができます。このアプローチへ移行したことによる有効性は、「最近の公告は非常に個人的、具体的、しかもタイムリーで、まるで携帯電話が自分の会話を常にモニタリングしているかのように感じる」というようなコメントがうまく言い表しています。しかし、サードパーティのリスク管理の観点からは、メタデータの統計分析を可能にする機械学習の能力を理解することが非常に重要となります。
他業界での類似事例に目を向けると、プロスポーツの世界における伝統的な意思決定は、高度な統計データとコーチの直感/勘との融合を特徴とした「直接データ」指標に基づき行われていました。その後、メタデータに基づくアプローチの採用が勝利の基本であると考えられるようになったのは、第一原理の考え方が採用されるようになってからです。アナリストらは、「私たちが持っている資源をどのように活用すれば、最も効果的に勝利を生み出すことができるだろうか」と問いました。
目標に対して明確に焦点を当てた以外に何の推測もされていないデータを見てみると、成功を予測する指標(インジケータ)は、従来の常識が示唆するものとは大きく異なることがわかりました。アナリストは、専門家の直観がしばしば完全に真逆であることに驚きました。また、目標との関連性が最も高いと判断された指標は、仮に追跡されていたとしても、完全に過小評価されていました。
当初、新しいアプローチの価値や正当性について、業界リーダーから大きな反発がありました。しかし、2016年のワールドシリーズ優勝などの結果から、これがスポーツ界のスタンダードとなりました。
4.拡大するリスク管理の範囲
調査ベースの「直接データ」から「メタデータ」に由来するアプローチへの移行は、それがサードパーティのリスク管理に適用された場合にも変革的な結果を生み出すでしょう。基本的に、サプライヤーから生じる全体的なリスクには大きく2つの側面があります。
1つ目は「サードパーティによる侵害によって、自社にどの程度の損害を与える可能性があるか?」。2つ目は「侵害が発生する可能性はどの程度か?」という点です。サプライヤーの全体的なリスクを特定するためには、これらの第一原理およびサードパーティのリスク管理における中核的な目的に焦点をあて、メタデータを従来の方法よりもより効果的に利用することができます。
社内外のデータソースにはサードパーティに関する有用なデータが増加し続けています。ただし、この大量のデータは、それぞれが何のつながりもなく、ただ膨大なデータのプールに継続的に蓄積されるため、これらの情報の価値は損なわれています。
異なるソース同士でデータを統合するための包括的な戦略をとることで、可能な限りの広範な文脈でデータの説明力と予測力を分析できるようになるため、これまで使用されていなかったデータ項目を活用し、戦略的なビジネス上の意思決定に役立つ重要なリスク指標を提供できるようになります。
機械学習によって推進されるリスクベースのデータ駆動型アプローチの概念は、すべてのベンダーがアクセス可能な内外のデータソースを利用することから始まります。データソースに含まれるのは、調達や契約情報、外部の脅威データ、財務の健全性情報、ビジネスの文脈でのメタデータなど、多くの重要なデータ項目になります。
このアプローチでは、メタデータから生じる影響や発生の可能性に関するデータを基に、メトリックを変更することでリアルタイムのリスク調整と分析を行うことができます。それにより、組織はベンダー全体のリスクの影響と可能性をより包括的に理解できるようになります。
このようなアプローチは、スケーラビリティ(拡張性)が課題となるものの、ベンダーのリスクを評価するだけでなく、その影響と必要なアクションの理解につながる客観的な方法を提供するものとなります。推測ではなく、より正確な測定が可能になると同時に、ネットワーク全体でリアルタイムのトラフィックモニタリングが可能となります。
最も重要な点は、リアルタイムのトラフィックモニタリングとメタデータとをリンクさせることで、サードパーティのリスク指標がビジネス環境と切り離されることなく、常に双方向での通知が行われるようになる点です。このように目標が定められ、状況に応じたリスクの視点を進化させることで、測定可能な正当性とともに、モニタリング活動を特定のビジネス上の意思決定に段階的に落とし込むことができるようになります。
【ダッシュボード(イメージ)】
5.結論
サードパーティのリスク管理が直面している現在の課題を解決するには、すでにデータ駆動型のインテリジェントな自動化アプローチが必要となっています。しかし、技術革新のスピードが速いことから、今日では非常に革新的で業界をリードしているように見える手法は、5年以内に標準になるだろうと予測することができます。
ビジネス環境のテクノロジーが向上し、普及し続けるにつれて、脅威ベクトルも同様に変化します。人工知能 (AI) や機械学習を使用することで、ビジネス改善を実現するための多くの道筋が現れますが、それと同時に、悪意のある攻撃者が新たな攻撃ルートを見つける扉も開かれることとなります。
悪意のあるプログラムがインフラの弱点を探し、絶えず入り口を探すよう命じられる世界では、ゼロデイ攻撃の技術的なエコシステムが形成される可能性があります。このような大規模な攻撃が継続的に試みられた場合、事後対応型の調査ベースのアプローチでは、サードパーティがもたらすリスクをタイムリーかつ正確に予測できず、有意義なリスク認識と軽減措置を行うことはできません。
このような環境においては、リアルタイム監視と予測モデリングの2つの機能がサードパーティにおけるセキュリティ管理の基盤となり、リアルタイム監視の結果に基づきプログラムリソースを最も必要とされている場所へ積極的にシフトすることができるようになります。
新型コロナウイルス感染症(COVID-19)のパンデミックの際にはさまざまな調整が行われ、従来プロセスの価値に対する世の中の認識はすでに損なわれています。各組織がサードパーティのリスク評価を実施する場合、現地/オンサイトではなく、バーチャルでの代替手段を選択するようになり、対面で評価を行う価値が疑問視されるようになりました。
その後、事業活動が通常どおりに戻ってからかなりの時間が経ちましたが、多くの企業は現地での対面評価に戻らないという選択をしています。それと同様に、拡張現実 (AR) 技術がビジネスの取組みや生活全般にますます浸透していくにつれて、調査に基づくアプローチ自体が現実的ではなくなると考えられます。
サードパーティのリスク管理に対する新しいアプローチが必要であると考えられてきて以降、このようなアプローチの変化はすぐに先駆者以外にも拡大すると予想されます。客観的なサードパーティのデータに基づく自動化による予測モデリングアプローチは、実現可能であり、必要なスケーラビリティとインサイトが提供可能であると見なされるようになりつつあります。また、今日の「最先端」技術は、予想を上回る速さで「明日の最低基準/ベースライン要件」となる可能性があります。組織は、さまざまな業界で戦略的に用いられてきた技術とデータを参考にしつつ、サードパーティのリスク管理の基本を明確に理解したうえで、十分な情報に基づき準備を進める必要があります。
本稿は、KPMG米国が2024年に発表した「Third Party Security in the Year 2030」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものです。
全文はこちらから(英文)
