企業が押さえるべきサイバーセキュリティリスク 第3回 ベンダーリスク、サードパーティリスク、エンタープライズリスクのマネジメントの違いは

画像提供：マイナビニュース

ベンダーリスクマネジメント（VRM）、サードパーティリスクマネジメント（TPRM）、エンタープライズリスクマネジメント（ERM）、それぞれの違いは何でしょうか。

情報セキュリティにおいて、特にサードパーティが関係する場合、リスクマネジメントは非常に重要になります。Deloitteによる調査「Extended enterprise risk management (EERM) TPRM global 2020」によると、回答者の84％が、過去3年間にサードパーティ由来の侵害を経験したと回答しています。

米独立系調査会社Ponemon Instituteによると、サードパーティはデータ侵害に係る対応コストを悪化させる傾向があり、37万米ドル以上増加させることが明らかになっています。そのため、ベンダーやサードパーティは、組織にとってリスク管理上の懸念点となります。データ漏えいに関連する平均対応コストは392万米ドルですが、サードパーティによるデータ漏えいの場合、コストはさらに増大すると予測されています。

これは、サードパーティに対するサイバーセキュリティ対策を発注元企業が直接コントロールすることができないためです。そこで、重要になるのがさまざまなリスクに対する管理プログラムです。
ベンダーリスクマネジメント（VRM）とは

ベンダーリスクマネジメント（VRM）とは、ベンダー、サプライヤー、サービスプロバイダーが、データ漏洩の危険性、事業中断の可能性、業績への悪影響など、組織にリスクをもたらさないための審査プロセスです。

特に、サードパーティのベンダーリスクマネジメントは、購入先のサードパーティ、つまりベンダーとサプライヤーに特化したものです。サードパーティベンダーには、メーカーに部品を提供する企業から、クラウドストレージプロバイダー、その他のSaaS（Software as a Service）プロバイダーまで、定期的に購入するあらゆる製品・サービスの提供元が含まれます。
サードパーティリスクマネジメントとは

組織のほとんどは多くのサードパーティと取引をしており、サードパーティの役割は多岐にわたり、ベンダーも含め、パートナー、請負業者、コンサルタントなど、さまざまなカテゴリーに分類されます。

したがって、TPRMは、VRMだけでなく、サプライヤーのリスクマネジメント、ITベンダーリスク、属性ベースのアクセス制御（ABAC）コンプライアンス、契約リスクマネジメントなど、さまざまなサードパーティリスクマネジメントをカバーする包括的なものとなります。