取引先経由の侵入が常態化、サードパーティリスク管理が企業防御の新たな要に

背景

現代のビジネスは、クラウドサービスプロバイダー、決済代行業者、物流パートナー、マーケティング支援会社、ITベンダーなど、数十から数百の外部事業者（サードパーティ）との連携によって成り立っています。これらの取引先は、業務遂行のために自社の機密情報やシステムへのアクセス権限を持つことが多く、一社でもセキュリティが脆弱であれば、そこを経由して自社ネットワークへ侵入される「サードパーティリスク」が顕在化しています。実際に、大規模な情報漏えい事件の多くが、取引先のセキュリティ不備を起点としており、自社がどれだけセキュリティ投資をしても、取引先が「最も弱い環」となって全体のセキュリティレベルを引き下げる事態が発生しています。しかし、多くの企業では取引先のセキュリティ状況を契約時に簡易的にチェックするだけで、継続的な監視や再評価を行っていないのが実情です。

実態

サードパーティ経由の侵入は、以下のような経路で発生します。まず、攻撃者はセキュリティ対策が手薄な中小のITベンダーや業務委託先を標的とし、そこからVPN接続や管理者アカウントを通じて大手企業のネットワークに侵入します。また、SaaS連携を悪用するケースも増えており、マーケティングツールやHRシステムなど、複数の企業データにアクセスできるサービスプロバイダーが侵害されると、その顧客企業すべてが連鎖的に被害を受けます。さらに、クラウドストレージやファイル共有サービスを介した情報漏えいも頻発しており、取引先が誤って機密ファイルを公開設定で共有してしまい、インターネット上から誰でもアクセスできる状態になっていた事例も報告されています。特に深刻なのは、取引先のランサムウェア被害が自社に波及するケースです。共有ネットワークやVPN接続を通じて感染が拡大し、自社も同時に暗号化被害を受けるという事態が実際に発生しています。多くの企業は、「契約書に守秘義務条項がある」「ISO27001を取得している」という形式的な確認で満足していますが、実際の運用状況や直近のインシデント履歴、パッチ適用体制、従業員教育の実施状況などを継続的に監視している企業は少数派です。

影響と対策

サードパーティ経由の侵入は、自社の防御を迂回されるため発見が遅れやすく、被害範囲も広範囲に及びます。また、法的責任の所在が曖昧になり、顧客や株主への説明が困難になるという二次的な問題も生じます。対策としては、まず「TPRM（Third-Party Risk Management：サードパーティリスク管理）」のフレームワークを構築することが重要です。具体的には、取引開始時のセキュリティ評価（質問票、現地監査、認証取得状況確認）、契約書へのセキュリティ要件明記（多要素認証、暗号化、インシデント報告義務など）、継続的なモニタリング（年次再評価、脆弱性スキャン結果の提出要求）、インシデント発生時の連携体制構築を実施します。技術的には、FortiGateやCheck Pointのネットワークセグメンテーション機能を活用し、取引先からのアクセスは必要最小限のシステムのみに制限し、横展開を防ぎます。また、取引先とのデータ共有にはDLP機能を適用し、機密情報の外部流出を監視します。さらに、サードパーティリスク評価プラットフォーム（BitSight、SecurityScorecardなど）を活用し、取引先のセキュリティ状況を外部から客観的にスコアリングし、リスクの高い取引先を優先的に改善指導することも有効です。

まとめ

「自社だけが安全でも意味がない」時代において、サプライチェーン全体のセキュリティレベルを底上げする取り組みが不可欠です。取引先の選定基準にセキュリティを組み込み、継続的な監視と改善支援を行うことで、エコシステム全体の強靭性を高めることができます。PSIでは、TPRM体制の構築支援、取引先セキュリティ評価の実施、ネットワークセグメンテーション設計を通じて、サードパーティリスクを最小化する包括的なソリューションをご提供いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp