IDC PlanScape：ITセキュリティのサードパーティリスク管理

当IDC PlanScapeでは、CISOの視点からサードパーティリスク管理プログラムを構築する方法に焦点を当てます。「現代のビジネス環境において、サードパーティの製品やサービスは単なる『あれば便利なもの』ではなく、『必須のもの』です。最新のAIの波を考えてみてください。少なくとも一部のサードパーティに依存せずに迅速に事業を進めることは、事実上不可能でしょう。これによりリスクが生じますが、適切なサードパーティの選定と、その製品・サービスの継続的な利用において正しい選択を行うことで、このリスクを大幅に軽減することが可能です。」と、IDC ITエグゼクティブプログラム（IEP）の客員研究顧問であるNick Kirtley氏は述べています。

IDC PlanScape図

エグゼクティブサマリー

ITセキュリティにおけるサードパーティリスク管理が重要な理由とは？

ITセキュリティにおけるサードパーティリスク管理とは何か？

主なステークホルダーは誰か？

組織はITセキュリティにおけるサードパーティリスク管理をどのように活用できるか？

• 新規サードパーティの評価支援から始める
• 契約更新を改善の機会として活用する
• サードパーティの優先順位付け
• セキュリティに関する保証書や証明書を要求する
• サードパーティリスクと課題の登録
• 規制要件を活用し、最低限のセキュリティ要件の向上を推進する
• 定期的な見直しを実施する
• 外部スキャンサービスの利用
• 内部組織側のセキュリティ対策が確実に実施されるようにする
• プライバシー要件を考慮する
• サードパーティ製品・サービスのセキュリティ監視を実施する
• 許可されていないサードパーティおよびシャドーIT・サービスの導入を防止する
• サードパーティリスク情報交換プラットフォームの活用
• 主要なリスクを網羅する質問票およびセキュリティ要件を開発・改善する

テクノロジーバイヤーへのアドバイス

関連調査