NRIセキュア、サードパーティのサイバーセキュリティリスクを評価するデューデリジェンスサービスを提供開始

■サイバーセキュリティリスク観点でのサードパーティ評価・管理が必要とされる背景

企業活動のグローバル化や業務のアウトソーシング、システムの連携が進み、サプライチェーンが拡大・複雑化しています。外部委託先・システム連携先・協業先といった「サードパーティ」のセキュリティ対策不足が自社のリスクになる可能性も想定し、サイバーセキュリティリスクの観点でサードパーティを管理・評価（サイバーセキュリティ・デューデリジェンス）することで自社のサイバー攻撃への耐性を高めることが重要になっています。

■本サービスの概要と特長

本サービスは、これまで買収対象の企業に対して実施されることが多かったサイバーセキュリティ・デューデリジェンスを、既存・新規の外部委託先等のサードパーティに対して実施します。そのうえで、自社を取り巻くサードパーティにおけるサイバー攻撃への耐性強化を目的としたセキュリティ対策の実施を支援します。

本サービスの主な特長は、以下の3点です。

１．膨大なサードパーティの中から評価・管理が必要な対象を選定

セキュリティ耐性強化のためには、外部委託先だけでなくシステムの連携先等もサードパーティのリスク管理対象として含める必要があります。膨大な数のサードパーティの中からサイバーセキュリティ・デューデリジェンスを行う対象の選定にかかる評価軸の導出などを支援します。

２．目的に沿った評価方法を選択・提案

サイバーセキュリティ・デューデリジェンスを行う目的に応じて、アンケート形式でのヒアリング、公開情報を元にした情報流出などの調査手法である「OSINT」[i]や未対処な脆弱性などからリスクを定量的に評価する「セキュリティスコアレーティング」[ii]等から最適な方法を提案します。さらに実行までを支援する場合には、NRIセキュアのセキュリティコンサルタントが導入企業の評価チームの一員となり、サードパーティとの契約締結開始・継続時にリスク評価を実施することもできます。

３．サードパーティ管理における相談窓口を常設

リスク評価・管理を一度行った後も、相談窓口を常設することで、サードパーティ管理における改善活動の中で浮上した課題に対し、対策のアドバイザリ等を継続して実施することができます。※継続的なサイバーセキュリティ・デューデリジェンスを行わない場合にも、サービス提供は可能です（図を参照）。

図：サードパーティ・サイバーセキュリティ・デューデリジェンスサービスの支援範囲

本サービスの詳細については、次のWebサイトをご参照ください。

https://www.nri-secure.co.jp/service/consulting/cybersecurity-due-diligence

NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。

[i] OSINT（Open Source Intelligence）：一般公開されているあらゆる情報を収集・分析し、独自の情報を得る手法。近年、サイバー攻撃に対する防衛力の判定にも活用されています。

[ii] セキュリティスコアレーティング：対象となる企業のセキュリティ対策状況を、定量的に評価する手法のことを指します。インターネットやダークウェブから入手可能な情報を元に、脆弱性の未対処や認証情報の流出などの観点でリスクを評価することができます。

■ご参考

NRIセキュアでは、本サービスの他にも経済安全保障推進法に基づきリスク対策を総合的に支援する「サプライチェーントラストサービス」を提供しています。支援メニューについては、以下の一覧表をご参照ください。

表：「サプライチェーントラストサービス」における支援メニュー