ベンダーリスク管理(VRM)は新しい概念ではない。筆者は2016年2月に掲載された米TechRepublicの記事「5 best practices for reducing third-party vendor security risks」(サードパーティーベンダーのセキュリティリスクを減らす5つのベストプラクティス)で、サードパーティーベンダーによって引き起こされるデータ漏えいリスクの軽減方法をいくつか紹介した。その記事の中で、筆者はVRMを定義することを忘れてしまった。GartnerのIT用語集で、VRMは以下のように定義されている。
「ベンダーリスク管理(VRM)とは、サービスプロバイダーやITサプライヤーの使用によって、許容できない業務の中断や業績への悪影響の可能性が発生するのを防ぐプロセスのこと」
サイバー犯罪者が好んで利用する攻撃経路
サードパーティーベンダー(TPV)に起因するデータ漏えいは、サイバー犯罪者にとって定番の攻撃経路になりつつある。Ponemon Instituteの第3回年次報告書(2018年)「Data Risk in the Third-Party Ecosystem」(サードパーティーエコシステムにおけるデータリスク)は、この情報の信憑性を高めるものだ。
残り本文:約2613文字 ログインして続きを読んでください。