サプライヤー・リスク・マネジメントにおけるセキュリティ・ギャップを埋める：継続的なモニタリング

サプライ・チェーンは、世界経済を支える重要な構成要素です。しかし、サイバー関連のビジネス・リスクの重大な源でもあります。サプライヤーに対する攻撃は、2021年から2024年の間に431%増加し、今後も増加する見込みです。これは、サプライヤーと取引する企業にとって悪いニュースです。IBM によると、サードパーティ・ベンダーの妥協は、データ・ブリーチ・コストの最も高いタイプのひとつであり、1件あたり約490万ドルです。

リスクとサイバーのリーダーにとっての課題は、既存のリスク・マネジメント・メカニズムが不完全であることです。遅い、リソースを大量に消費する、盲点があるという問題があります。真のサプライヤー・リスク・マネジメントは、継続的な監視と管理から生まれます。

サプライ・チェーンの止まらない成長

複雑で断片化されたサプライ・チェーンは、世界的な商取引の代価です。過去10年以上の間に、消費者の選択肢と低コストの需要に応えるために成長してきました。同時に、デジタル・サプライ・チェーンも、ソフトウェア・アズ・ア・サービス（SaaS）、マネージド・サービス・プロバイダー（MSP）、およびビジネスがより革新的な、効率的な働き方を求めるために、驚異的な成長を遂げてきました。

結果は、不透明性が生じ、ビジネス・リスクが増大し、利益と顧客の忠誠心が損なわれる可能性があります。ある推定によると、平均的な中小企業には800のサプライヤーがいます。サプライヤーのサプライヤーを数えると、数は 数千の企業に達します。

リスキー・ビジネス

これは、CISOとそのチームにとって悪いニュースです。彼らは、広範なサプライ・チェーンから生じる不可避のサイバーセキュリティ・リスクを管理する方法を見つける必要があります。ベンダーとサプライ・チェーンの妥協は、昨年、データ・ブリーチの15%を占めました。Verizon によると、この数字は実際には過去1年間で2倍に増加し、30%に達しました。実際の数字は何であっても、実際の事件から生じる被害の種類は明らかです。

アウトソーシング会社やプロフェッショナル・サービス・ファームなどのサードパーティーは、クライアント企業に属する非常に機密性の高いアクセス・クレデンシャルやデータを保管している可能性があります。個人情報（PII）、顧客や従業員の健康保険情報、医療情報、知的財産、営業秘密、非公開財務データなどが含まれる場合があります。これらはすべて、デジタル・強要犯にとっての大きな誘惑です。彼らはこれらを盗んだり暗号化したりして、支払いを強要する可能性があります。サードパーティーのブリーチは、2024年にランサムウェア攻撃の41%を占めました。ある研究によると。

サプライヤーが増えるにつれて、企業向け詐欺（BEC）などの企業詐欺のリスクも増大します。脅威行為者は、財務チームのメンバーまたは上級幹部に、架空の請求書の支払いを要求するフィッシング・メールを送信する可能性があります。彼らはクライアント/サプライヤーのメール・アカウントをハッキングすることで、攻撃の成功率を高めます。彼らは通信を監視し、請求書の見た目を理解することができます。BECによる損失は、FBIに報告された損失は、昨年約28億ドルに達し、サイバー犯罪の2番目に高額な損失となりました。

さらに、サプライヤーのサプライヤーもあります。2023年の報告によると、調査対象の企業の半数は、過去2年間にセキュリティ・ブリーチを経験した少なくとも200の4次サプライヤーとの間接的な関係を持っていました。サプライヤーが小さいほど、ベスト・プラクティス・サイバーセキュリティに費やすリソースが少ない可能性があります。

AIはハッカーの贈り物

AIテクノロジーは、サイバー犯罪者によって成功率を向上させるために利用され始めています。実際、イギリス政府の専門家は、今年、このテクノロジーは「サイバー侵入作戦の要素をより効果的で効率的にする」ことを「ほぼ確実に」続けるだろうと警告しています。

ジェネレーティブ・AIが、自然な、完璧なローカル・言語でフィッシング・キャンペーンを作成する方法を見て取ることができます。システムの弱点を探り、ターゲットを選択するのを助ける方法を見て取ることができます。また、マルウェアやエクスプロイトの作成を助ける可能性もあります。これが、AIが「サイバー脅威の頻度と強度の増加」に導く理由です。報告書は、そのような増加が2年間で起こるだろうと警告しています。

セキュリティ・インシデントの種類や程度によっては、クライアント企業への影響は、金銭的および評判の損害から、規制上のリスクや業務の混乱までさまざまです。インシデントが検出されない期間が長いほど、脅威行為者がネットワーク内に留まる時間が長くなり、最終的にクリーンアップして復旧するコストが高くなります。残念ながら、サプライ・チェーンの妥協は、IBMによると、解決に最も時間がかかるようです。

実際の例は、最近のランサムウェア・ブリーチの重大な開示です。多国籍企業のBPOサプライヤー、Conduentです。1100万人以上のアメリカ人が、社会保障番号、健康保険の詳細、医療情報を公開する可能性がありました。報告によると。2025年11月の時点でまだ通知されていませんでしたが、会社の環境は2024年10月にすでに妥協されたと考えられています。

継続的なモニタリングの重要性

幸いなことに、AIも、サプライヤー・サイバー・リスク・マネジメントにおける共通の課題を、善い面で克服するのを助けることができます。多くの組織は、遅い、手動のプロセスと、遅延と可視性のブラインド・スポットを生み出す長いアンケートに苦労しています。一貫性のないサプライヤー・ドキュメントは、リスク・スコアをエコシステム全体で比較し、ビジネスにとって最も重要なものを理解することを困難にします。

代わりに、データとAIを中心としたアプローチを使用することで、組織は、オンボーディングの際とその後の自動化で重労働を肩代わりさせることができます。後者は重要です。なぜなら、リスクは、サプライヤーが承認された後にも、毎時、または毎日、ソフトウェアの脆弱性、データ・ブリーチ、または不正な設定のアカウントの変更に応じて、進化し続けるからです。サプライヤーは、新しいインフラストラクチャに投資し、サイバー攻撃の表面を増大させる可能性があります。彼らは新しいサプライヤーを追加し、リスクの露出を変更する可能性があります。また、彼らは新しい脅威行為者のキャンペーンの標的となる可能性があります。

これらすべては、サプライヤー・サーベイとドキュメントの収集と処理を超えた、第三者リスク・マネジメントへのより積極的なアプローチを必要とします。組織は、被害が生じる前に迅速に行動できるように、リアルタイムでリスクを特定することに焦点を当てるべきです。

AIを始める

サプライヤーのサイバー・リスクに関する360度、継続的な洞察を得るには、多くのデータと、疑わしいパターンをフラグするためのインテリジェントなアルゴリズムが必要です。高品質のデータがあれば、可視性が向上します。これには、ダーク・ウェブ・フォーラムでブリーチの初期の警告サインを探す脅威インテリジェンス・フィードが含まれる可能性があります。または、サプライヤー・エステートの欠落しているセキュリティ・アップデートを強調する脆弱性モニタリング。または、サプライヤーの財務部門でのメールの妥協の証拠を追跡する可能性があります。これは、BEC攻撃の予兆となる可能性があります。あるいは、サプライヤーが関与する疑わしい取引パターンを追跡する可能性があります。

AIは、リアルタイムで重要なリスクを特定し、すぐに措置を講じることができます。クライアントのポリシー、ポスト、ビジネスへの重要性に応じて、各サプライヤーに継続的に更新されるリスク・スコアを自動的に割り当てることができます。

エージェント・AIは、SOC 2レポートや社内セキュリティ・ポリシーなどの複雑なサプライヤー・ドキュメントを分析し、NIST CSFやISO 27001などの確立されたフレームワークにコントロールをマッピングすることで、強力なアライである可能性があります。これにより、コンプライアンスの可視性が数分で得られ、セキュリティとリスクのチームがより高価値のタスクに集中できるようになります。成熟した組織では、AIエージェントは、ルーチン・タスクの解決と修復に独立して取り組む可能性があります。あるいは、適切なチーム・メンバーに迅速な注意を促すためにルーティングする可能性があります。

全てをまとめる

重要なのは、サプライヤー・サイバー・リスク・マネジメントのシステムが統一されていることを確認することです。そうすれば、リスク・データがシロ化され、使用できないことを防ぐことができます。理想的には、同じプラットフォームが、コンプライアンス、サステナビリティ、財務、運用などの分野における他のタイプのサプライヤー・リスク・マネジメントも可能にします。そうすれば、より良いビジネス上の決定が下せる情報が提供されるでしょう。

何よりも、サイバー・リスクは基本的にビジネス・リスクであることを覚えておくことが重要です。完全に排除することはできません。しかし、より効果的に管理することは可能です。