NRIセキュア、サードパーティのセキュリティリスクを評価するデューデリジェンスサービスを提供

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は20日、外部委託先をはじめとしたサードパーティの全体像の把握とリスク評価・管理を行う「サードパーティ・サイバーセキュリティ・デューデリジェンスサービス」を提供開始した。

　NRIセキュアでは、企業活動のグローバル化や業務のアウトソーシング、システムの連携が進み、サプライチェーンが拡大・複雑化していると説明。外部委託先・システム連携先・協業先といった「サードパーティ」のセキュリティ対策不足が自社のリスクになる可能性も想定し、サイバーセキュリティリスクの観点で、サードパーティを管理・評価（サイバーセキュリティ・デューデリジェンス）することで自社のサイバー攻撃への耐性を高めることが重要になっているという。

　サードパーティ・サイバーセキュリティ・デューデリジェンスサービスは、これまで買収対象の企業に対して実施されることが多かったサイバーセキュリティ・デューデリジェンスを、既存・新規の外部委託先などのサードパーティに対して実施。その上で、自社を取り巻くサードパーティにおけるサイバー攻撃への耐性強化を目的とした、セキュリティ対策の実施を支援する。

　サービスでは、膨大なサードパーティの中から評価・管理が必要な対象を選定。セキュリティ耐性強化のためには、外部委託先だけでなくシステムの連携先などもサードパーティのリスク管理対象として含める必要があり、膨大な数のサードパーティの中からサイバーセキュリティ・デューデリジェンスを行う対象の選定にかかる評価軸の導出などを支援する。

　また、サイバーセキュリティ・デューデリジェンスを行う目的に応じて、アンケート形式でのヒアリング、公開情報を元にした情報流出などの調査手法である「OSINT」や、未対処な脆弱性などからリスクを定量的に評価する「セキュリティスコアレーティング」などから最適な方法を提案する。さらに実行までを支援する場合には、NRIセキュアのセキュリティコンサルタントが導入企業の評価チームの一員となり、サードパーティとの契約締結開始・継続時にリスク評価を実施することもできる。

　リスク評価・管理を一度行った後も、相談窓口を常設することで、サードパーティ管理における改善活動の中で浮上した課題に対し、対策のアドバイザリなどを継続して実施できる。なお、継続的なサイバーセキュリティ・デューデリジェンスを行わない場合にも、サービス提供は可能となる。

サードパーティ・サイバーセキュリティ・デューデリジェンスサービスの支援範囲

　NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していくとしている。