こうしたリスクを管理するには、脆弱性を特定し、ベンダーのセキュリティ対策を監視すること、そして潜在的な脅威が拡大する前に対処する必要があります。この記事ではサードパーティのサイバーリスク管理の基礎を説明し、企業が直面しているリスクの種類を明らかにします。また、ベンダーエコシステムを保護するために、あらゆる業界でプロアクティブなアプローチを採用すべき理由についても説明します。

サードパーティサイバーリスク管理とは？

サードパーティサイバーリスク管理とは、外部ベンダー、サプライヤ、サービスプロバイダに起因するサイバーセキュリティリスクを特定、監視、回避する作業です。これらのサードパーティは、重要なシステム、機密データや顧客情報にアクセスできることが多いため、サイバー脅威の潜在的な入口となります。

たとえば多くの企業が機密データの処理にサードパーティのクラウドストレージプロバイダを使用しています。プロバイダのセキュリティプロトコルが脆弱な場合、データ侵害によってシステムだけでなくサービス提供先の企業にも不正にアクセスされてしまいます。同様に、ITサポートのアウトソーシングによって業務の合理化が可能になりますが、ベンダーが適切なセキュリティ対策を怠っていた場合、リスクが生じる可能性があります。

こうしたリスクが被害の大きなインシデントにエスカレーションする前に、プロアクティブに対処することがサードパーティサイバーリスク管理の目的です。そのためには、サードパーティのサイバーセキュリティプラクティスの評価、関連する規制に対するコンプライアンス確保、明確なインシデント対応手順の確立が必要です。こうした厳密な対策を行っておかなければ、企業は自社のセキュリティを確保することができません。

サードパーティサイバーリスク管理の主な機能

• リスク査定：サードパーティの脆弱性による潜在的な影響と発生可能性の評価。
• 継続的な監視：ベンダーのセキュリティプラクティスを継続的に確認して新たなリスクを検出。
• ベンダーとの契約：期待しているセキュリティレベルを明確にするため、契約内容にセキュリティ要件を盛り込む。
• 修復計画：ステップバイステップの指示によるガイダンス、アクションの優先順位付け、回避戦略、特定したリスクや問題点への対応方法。

サードパーティサイバーリスク管理の理解と実装は単なる推奨事項ではなく、企業にとって不可欠なことです。

サードパーティリレーションシップにおけるサイバーリスクの種類

企業がサードパーティベンダーと連携して作業する場合、無数のサイバーリスクに直面します。外部パートナーが自社と同等な厳格なセキュリティ標準を順守していないことが多いからです。リスク回避はこうしたリスクの理解から始まります。以下はサードパーティリレーションシップに関連する一般的なサイバーリスクの種類です。

1. データ漏えい

サードパーティは機密性の高い顧客、社員、および企業のデータを扱うことがよくあります。ベンダーのセキュリティシステムに不正アクセスが発生した場合、攻撃者はアクセスのエクスプロイトによって、御社のネットワークにも侵入する可能性があります。

• 例：前述したTargetへの不正アクセスでは、ハッカーがベンダーから漏えいしたクレデンシャルを介してTargetの決済システムにアクセスし、数百万件の顧客データを流出させました。
• 影響：金銭的な損害、法的責任、評判の逸失。

2. サービス中断

ベンダーがサイバー攻撃の被害に遭った場合、ベンダーのシステムが機能停止し、御社業務にも影響します。

• 例：クラウドホスティングプロバイダに対するDDoS（分散型サービス拒否）攻撃によって、重要なシステムが何時間または何日もシャットダウンを余儀なくされる可能性があります。
• 影響：生産性の大幅な低下、売上逸失、顧客の信頼低下。

3. コンプライアンス違反

GDPR、HIPAA、DORA、NIS2などの規制によって企業はサードパーティが管理しているデータであっても保護する義務が課せられています。

• 例：HIPAAを順守していないベンダーを使用しているヘルスケアプロバイダは、患者データへの不正アクセスがあった場合には多額の罰金を科せられる可能性があります。
• 影響：規制による罰金と監査のさらなる厳格化。

4. 知的所有権の盗難

製品デザインや企業秘密などの機密情報にアクセスできるサードパーティのセキュリティ対策が脆弱な場合、不注意によってこの種の情報を流出させてしまう可能性があります。

• 例：ベンダーネットワークへの不正アクセスによってメーカーの設計ファイルが盗まれ、市場に模倣製品が出回る可能性があります。
• 影響：競争力の低下と訴訟の可能性。

5. サプライチェーン攻撃

サイバー犯罪者は、ベンダーと顧客間の信頼関係を利用して、ベンダー側から顧客のシステムに侵入することがよくあります。

• 例：2021年のKaseyaランサムウェア攻撃では、一般的なIT管理ソフトウェアベンダーが標的になりました。攻撃者はベンダーのシステム内にあった脆弱性をエクスプロイトし、ベンダーの数百もの顧客にランサムウェアを導入したため、学校、病院、小売りチェーンなど、全世界の企業や組織に影響しました。
• 影響：関連する企業や組織の大規模な業務中断、ランサム（身代金）支払いによる金銭的な被害、長期的なダウンタイム。

サードパーティサイバーリスク管理のためのSlingソリューション

サードパーティサイバーリスクを効果的に管理するためには高度なツールとプロアクティブなアプローチが必要です。Slingは現代の複雑化したベンダーネットワークに対応できる総合的なソリューションを提供しており、企業や組織は脅威に先手を打つために必要なツールを確保できます。

1. 独自のリスクスコア

Slingのプラットフォームは、高度なアルゴリズムを使用してサードパーティごとに独自のSlingスコアを算出しており、複数のデータポイントを組み合わせて総合的なリスクプロファイルを作成しています。

• 主なインプット：
  • すべてのポートフォリオコンポーネントに関するリスクと、企業ごとの具体的なリスクをまとめた総合的かつ詳細なレポート（重大な問題点を優先的に分析した結果を含む）。
  • アセットの脆弱性分析。
  • 潜在的な攻撃に関してダークネットデータから入手した情報。
• 利点：企業や組織は最も脆弱なサードパーティリレーションシップについて明確に理解した上で、修復作業の優先順位を決定することができます。

2. 継続的な監視

Slingはサードパーティベンダーのセキュリティプラクティスをリアルタイムに把握し、新たなリスクを早期に検出できるようにします。

• 機能：
  • リスクやコンプライアンス違反の問題があれば自動的にアラートを発出。
  • ベンダーのセキュリティ環境に関する情報を定期的に更新。
  • 既存のインシデント管理ワークフローとの統合。
• 利点：企業はリスクがインシデントにエスカレーションする前に、回避策をすぐに講じることができます。

3. 攻撃者の視点

Slingは脅威インテリジェンスを統合しており、攻撃者がベンダーの脆弱性をどのように見て、優先順位を付けているのかをシミュレーションします。攻撃者の技法を理解することで、Slingは企業や組織が最も重要なポイントで守りを強化できるようにします。

• 機能：
  • アクセスレベルと脆弱性に基づき高価値のベンダーターゲットを特定。
  • サードパーティとの接続に起因する攻撃サーフェスエクスポージャに関するインサイト。
• 利点：企業や組織は攻撃者に最も狙われそうなところを理解し、予防策を講じることができます。

4. アクションに結び付くインサイトとカスタムレポート

Slingはアクションに結び付く詳細なレポートを提供し、企業がサイバーセキュリティ戦略を強化できるようにします。レポートには各ベンダーのリスクプロファイルに合わせてカスタマイズされた実践的なアドバイスが盛り込まれています。

• レポート例：
  • Portfolio Report：ベンダーの全体的なセキュリティ環境について詳しくまとめたものです。ベンダーのリスクプロファイルとスコアが御社のサイバーレジリエンシに及ぼす影響について、主要なインサイトを提供します。
  • Cyber Risk Report：特定ベンダーのサイバーセキュリティ環境について詳細な分析結果を示します。Slingスコアに反映されているリスクを明らかにします。
• 利点：企業はデータに基づく意思決定によって業務を維持することができます。

サードパーティサイバーリスク管理のスタート方法

サードパーティのサイバーリスク管理は複雑に見えますが、適切なツールと戦略があれば外部ベンダーに起因する脆弱性からビジネスを守ることができます。リスク査定の実施、明確なセキュリティ基準の設定、ベンダーのアクティビティの監視、インシデントへの備えによって、強力なサイバーセキュリティ環境の基礎作りが可能です。

ただしこれを効果的に行うには適切なプラットフォームと専門知識が必要です。Slingのサードパーティリスク管理ソリューションはまさにそういったニーズに応えるものです。Slingのような高度なテクノロジーによってベンダーエコシステムを完全に掌握し、脆弱性をプロアクティブに特定して、エスカレーションする前にリスクを回避することができます。ビジネスとサプライチェーンの保護を始めるなら
すぐにデモを予約してSlingによるサードパーティリスク管理戦略のトランスフォーメーション方法を体験してください。ベンダー査定、脅威のリアルタイム監視、プロアクティブなインシデント対応プランの策定など、すべてを総合的なプラットフォームで実現する方法をお伝えします。

今すぐデモを予約

Slingがお客様のビジネスをグローバルに保護します。今すぐリスクを回避しましょう！

הפוסט サードパーティサイバーリスク管理：ビジネスをグローバルに保護 הופיע לראשונה ב-Sling Score.

特に懸念されているのが繰り返し発生する攻撃で、その重大性への警戒が必要です。様々な種類の攻撃で、一度攻撃された被害者は再度攻撃される可能性が高いという研究結果が出ています。

特にランサムウェアについてはこうした繰り返し攻撃が最も顕著に見られます。ランサムウェアの被害者に関する複数の調査で、繰り返し攻撃が発生している割合が高いことがわかりました。たとえばCybereasonが先ごろ実施した調査では、ランサム（身代金）を支払ったランサムウェア被害者のうち80%近くが再度被害に遭っていることがわかりました。その多くが同一の相手による攻撃でした。興味深いのはこのうち約68%が最初の攻撃から1か月以内に2回目の攻撃に遭っている点です。

前述のようにこの傾向は各種攻撃で見られます。たとえば以下のような例が挙げられます。

データ漏えい：AccentureとPonemon Instituteが2021年に実施した調査では、データ漏えいを1度でも経験したことがある企業や組織は経験したことがない企業や組織に比べて繰り返しの攻撃に遭う確率が2.7倍高かったことがわかりました。

ウェブサイト偽装：Impervaの調査ではウェブサイト偽装攻撃に遭った企業や組織のうち、その後6か月以内に類似の攻撃に遭ったと回答した割合は47%でした。1

DoS：Neustarによる調査では、DDoS攻撃に遭った企業や組織のうち44%が攻撃後1年以内に再度攻撃されていることがわかりました。2

こうした調査だけでなく類似の調査でも同様な結果が得られているため、1度でも攻撃に遭った企業や組織は繰り返し攻撃される可能性が高く、企業や組織のサイバー攻撃の大半を占めています。

過去のインシデントと現在のリスクの関連性の高さについては、いくつか理由があります。

第1に、サイバー犯罪者は被害に遭ったことがある企業や組織を脆弱な存在としてとらえ、将来的にも攻撃しやすいと考えます。

さらにサイバー犯罪者は過去の攻撃で得た情報を利用して、その後さらに高度な標的型攻撃を仕掛けることができます。たとえば過去の攻撃で企業や組織のデータが盗まれた場合、サイバー犯罪者はその情報を利用してスピアフィッシング攻撃、ソーシャルエンジニアリング攻撃、あるいは企業や組織の脆弱性を狙ったその他の形式のサイバー攻撃を仕掛けることができます。

そして企業や組織が1度でもサイバー攻撃に遭えば、その防御やセキュリティプロトコルが脆弱なもの、あるいは正しく機能しなくなり、その後も攻撃対象になりやすいのです。最初の攻撃の原因となった脆弱性を修復するために適切な措置を講じなかった場合、その後の攻撃が発生しやすくなります。SLINGは広範なデータ収集と詳細なダークネットインテリジェンスを活用して過去に発生したあらゆる種類のサイバー攻撃を検出し、すべてのインシデントの分析に活用することで企業やベンダーのサイバーリスクスコアを適切に評価、予測できるようにします。

הפוסט 繰り返されるサイバー攻撃に警戒せよ：個人、企業、行政機関への影響とインサイト הופיע לראשונה ב-Sling Score.

サイバーリスクをユニークな方法で数値化するこのアプローチの基盤になっているのは、 インターネット全体で最も到達困難な場所にも浸透する目的で開発された弊社のダークウェブ脅威インテリジェンスプラットフォームです。 サイバー犯罪者が集まる場所で、 Sling は彼らのインタラクションから非構造化/構造化データセットの両方を自動的に収集、 分析し、 秘密裏に活動するサイバー犯罪者による新たな脅威の監視とアラート発出を行います。 このためにダークウェブ研究分野で数十年蓄積した経験と詳細なトレーニングを活用しています。

また、フォーラム、マーケットプレース、オートショップ、インスタントメッセージングプラットフォーム、情報共有のためのウェブサイト、ハッキングレポジトリを含む350以上の情報源からインテリジェンスを収集して分析しています。これらはいずれも、お客様に提供する弊社ソリューションの迅速で正確なプロセスを保証する詳細なコンテキストベースの脅威データとなります。

このようにキュレーション済みのインテリジェンスインサイトと並んでプロセスの柱となっているのが、弊社内で行っている攻撃サーフェス管理と監視で得られるインサイトの追加作業です。この分野における Sling の専門知識により、数百万の情報源を網羅した数千のオンラインアセットを把握することができます。さらに総合的なアセットマップの構築によって脆弱な設定、パッチ適用漏れ、アプリケーションバグ、暗号化の脆弱性などを検出し、ダークウェブから得た根本的なインテリジェンスと照合します。

お客様向けの継続的な分析サイクルにおいてこうしたダークウェブの専門知識と評価は何より重要で、弊社の DNA に組み込まれています。これにより通常は「未知」と判断されるようなサイバーリスクを削減し、常にサイバー犯罪者の視点で取り組むというミッションを確実に達成いたします。

お客様のポートフォリオ全体での外部への露出を把握し、対処するために、Sling はお客様のベンダーの攻撃サーフェスを検出し、サーバーの場所を特定してマップ上に示し、お客様のプロファイルを重大な、あるいは注意が必要なゼロデイ脆弱性と照合します。照合済みの全インサイトはインタラクティブなダッシュボードでリアルタイムに確認できます。このダッシュボードにはクレデンシャルやソースコードの漏えい、ハッキングディスカッションでの言及、攻撃されたアカウント、クレジットカード記録、ネットワークの脆弱性など、あらゆる脅威が同時に表示されます。お客様は自身のプロファイルに完全にアクセスでき、サイバーインシデントの発生前、発生中、発生後のいつでもリスクを管理することができます。

さらに、個別の脅威をわかりやすく正確なインフォグラフィックスにして Sling サイバーリスクスコアに取り込むことで、企業は現在のリスクプロファイルを正確に把握することができます。このような詳細情報を明確でアクセスしやすいレポートにまとめ、戦術的、戦略的なレベルでのアクションに結び付けやすくしています。メールやテキストでのアラートで新たなリスクの兆候を通知し、推奨される回避策を提示してフォローアップします。連携、協力によって修復作業を行い、サイバー攻撃の発生率を低減します。Sling でのライフサイクル全体におけるカスタマーエクスペリエンスについては、覆面フィッシングキャンペーンを実行します。これによって人的ミスに起因するエクスポージャの兆候を明らかにして、標準的な方法以外の侵害/攻撃シミュレーションを行い、ベストプラクティスに従ったセキュリティ対策がなされていることを確認します。これらはお客様に提供している自動的/継続的サービスの一環として実施しているものです。

サイバー犯罪の被害に遭った場合、サイバーインシデントへの対応と回復段階で Sling のポストインシデント修復機能がサポートし、お客様のオンライン環境回復と業務復帰をスピードアップします。

脅威インテリジェンスがサイバー空間の戦場となった今、ダークウェブに光を当て、お客様に関連する複雑なデータアナリティクスの実施、カスタムリスクスコアの提示、インテリジェンスベースのサイバーセキュリティソリューションの提供によってお客様を守り、安心感を得られるようにします。

הפוסט 類のない新たなインテリジェンスが導くサイバーリスクスコア הופיע לראשונה ב-Sling Score.

オートショップとは各種のデジタルアイテムを提供しているインターネットフォーラムで、ハッキングしたメールアカウント、ウェブサーバーへのリモート管理アクセス（cPanel や webshell）、プレミアムアカウント（Amazon や Netflix など）、盗難クレジットカードなども含まれています。オートショップでは取引にデジタル通貨を使用することでアイテムを瞬時に手に入れることができます。

サイバー犯罪環境ではオートショップが重要な役割を担っています。企業や組織に対するサイバー攻撃は、こうしたサイトで購入した製品と直接関係しています。たとえばビジネス用のメールはソーシャルエンジニアリングのきっかけとして使われ、コンピュータの侵害や感染、暗号化によく利用される手段です。同様に、ウェブサイトへの管理者アクセス権を入手することで、攻撃者は DoS（サービス拒否）、データベースの漏えい、ランサム攻撃など、悪意のあるアクションを実行できるようになります。販売されているビジネスアカウントの多くがランサムウェアグループの主なターゲットでもある中小企業のものなので、こうしたグループにとっては余計に魅力的なものになっています。

悪名高い少数の大規模なショップ以外に、取引量が非常に多い小規模なショップが多数あります。事実こうしたショップはダークウェブの中心的な存在です。ダークウェブでは個人や企業の資産へのアクセス権を、悪用しようとする人に販売しています。

クライアント様のサイバーリスク分析モデルの基になる情報源（インプット）を拡大するために、Sling は自社の専門知識を適用してこの種のショップの探索/監視のための方法を開発しています。
二次的なマネタイゼーションという現象も見受けられます。

調査の一環として大規模なサイバー犯罪市場（たとえばロシアの Genesis など）でのアクティビティを掘り下げて研究しています。これは様々なアクターが「ログ」を販売している Onion サイトを中心としたオンラインプラットフォームです。「ログ」には情報を盗み出すためのマルウェアが組み込まれた全世界のマシン（bot）から収集したデータやブラウザに保存された情報が含まれています。こうしたサイバー犯罪市場では、1台のマシンから不正に入手したすべてのアカウントは「bot for sale」と呼ばれるパッケージとして販売されています。

販売業者は感染した複数のアカウントを含む bot を大規模な専用市場で購入し、パッケージを「解凍」してオートショップの各カテゴリーでアイテムを個別に提供していることがわかりました。関心のあるサイバー犯罪者に人気の高いカテゴリーには、アカウント（Amazon Prime、Netflix、Domino、Papa Johnなど）へのアクセス権を提供する直接的なものもあれば、広告中心のもの（メーリングリストやメーラーなど）、ビジネス用のメールや認証データへのアクセスなどサイバー攻撃用に設計されたものがあります。

まさにサイバー犯罪の世界における卸売と小売マーケティングなのです。小規模に展開し、個人顧客向けにカスタマイズされている小売店と同様に、オートショップも同様なレベル向けにカスタマイズされています。アイテムは個別に掲載、販売されています。登録やログインも簡単です。大規模な Onion 市場とは異なり、登録時のデポジットも不要で、コミュニティ内の他の人から紹介してもらう必要もありません。事実これらのサイトの多くが Onion サイトですらなく、Tor を使って任意のブラウザからアクセスできます。したがってバイヤーは自動プロセスで、さらに便利にデジタルアイテムにアクセスすることができます。最終的な製品はアカウントの自動販売機のようなものです。

ただしこの種のウェブサイトは検索エンジンによるインデックス処理はされないので、検出や除去が難しいのです。

■ 無検閲のオートショップ：

デジタルアイテムの取引では機密保持が不可欠です。2つの例を紹介します。パスワードなどの知識認証要因では、知識を入手することで所有権も入手できます。しかしウェブアクセスの場合、販売者は潜在的なサイトオーナーにアセットの侵害、悪用を知られたくないため、バイヤーが知りたい情報だけを開示し、検閲済み、または部分的なドメイン名など、リストの詳細は隠すことが多いです。

これにより、検出が非常に困難になります。オンラインのオートショップを検出後、アクセス権を取得して除去し、販売者が何を共有しようとしていたのかを明らかにする必要があります。SLINGはこうした課題を克服し、企業のアセットをリストと照合するために、各種のツールを使用して独自の技法を開発しました。これにより企業はランサムグループや脅威アクターによる攻撃前にサイバーセキュリティの侵害を認識することができます。

■ サイバーリスクスコアにとっての重要性：

オートショップ環境のこうした調査と膨大な情報源としてのダークネットの把握は、情報セキュリティリスクへの対処において重要な要素です。これによって企業のエクスポージャがどこでどのように発生しているのかを把握し、個別の脆弱性に伴うリスクを分析できます。

Sling では企業のデジタルアセットとサイバーリスクを特定、監視することで、中小企業（SMB）向けに独特なサイバーリスクスコアソリューションを提供しています。

הפוסט ダークウェブにスポットライトを当てる：オートショップと二次的なマネタイゼーション הופיע לראשונה ב-Sling Score.

既知の脆弱性が多数存在し、 長年の間に数も増えました。 2001年には新規登録された CVE の数は1,677でしたが、2011年には4,155に増えました（10年間で247.7%の増加）。そして2021年にはさらに20,169に増えました（10年間で485.4%の増加）。したがって回避と修復の優先度判定が必要です。この課題は社内のITスタッフ、CISO、サイバーセキュリティ問題に関わるすべての人に関係があります。FIRSTの発表では「企業は毎月修正できているのは既知の脆弱性のうち5%～20%で、公開されている脆弱性のうち実際にエクスプロイトされているのはごくわずか（2%～7%）」だということがわかっています。

各 CVE の重要性、リソースや機能との関連性、エクスプロイトの可能性を現実的に分析する能力は、 CISO による脆弱性の適切な優先処理に不可欠です。また、サイバー保険の観点からも、クライアント様のサイバーリスクを正確に査定するために重要です。

CVE 専用のスコアリングシステムはいくつかあります。最もよく知られているのが CVSS ですが、他にもいくつかあまり知られていないシステムがあります。これらのシステムとその機能について確認してみましょう。

הפוסט 脆弱性の優先度判定とリスク分析 הופיע לראשונה ב-Sling Score.