NRIセキュアがサードパーティのサイバーセキュリティリスクを評価するサービス開始

野村総合研究所グループのNRIセキュアテクノロジーズ(NRIセキュア)は、外部委託先などサードパーティの全体像の把握とリスク評価・管理の「サードパーティ・サイバーセキュリティ・デューデリジェンスサービス」の提供を始めたと5月20日に発表した。これまで買収対象の企業を対象に実施されてきたリスク評価・管理を既存・新規の外部委託先まで広げ、サイバー攻撃への耐性を強化するセキュリティ対策の実施を支援する。

膨大なサードパーティの中からデューデリジェンスを行う対象を選定する評価軸の導出を支援。目的に応じてアンケート形式のヒアリングや、公開情報を元に情報流出を調べる「OSINT」、未対処な脆弱(ぜいじゃく)性からリスクを定量的に評価する「セキュリティスコアレーティング」等から最適な方法を提案し、実行まで支援する場合はセキュリティコンサルタントがサードパーティとの契約締結開始・継続時にリスク評価を実施する。

リスク評価・管理を一度行った後も、相談窓口を常設して浮上した課題の対策のアドバイザリを継続して実施できる。企業活動のグローバル化や業務のアウトソーシング、システムの連携が進んで、サプライチェーンが拡大・複雑化している。外部委託先・システム連携先・協業先のサードパーティのセキュリティ対策不足が自社のリスクになると想定し、自社のサイバー攻撃への耐性を高めることが重要になっていた。