企業が押さえるべきサイバーセキュリティリスク 第3回 ベンダーリスク、サードパーティリスク、エンタープライズリスクのマネジメントの違いは

TPRMプログラムの目的は、組織が関係を持つすべての外部当事者に関するリスクを特定・分類することで、各サードパーティの継続的な行動を評価し、サードパーティが組織にもたらす可能性のあるリスクを監視するために実施されます。
エンタープライズリスクマネジメント（ERM）とは

エンタープライズリスクマネジメント（ERM）とは、組織に対する潜在的なリスクや脅威を特定し、対処するプロセスです。VRMはベンダーに焦点を当て、TPRMはVRMより広い範囲を対象としていますが、それよりもさらに広い概念がERMです。TPRMとVRMはERMの傘下に位置します。

Deloitteの調査によると、ERMは成長分野に位置づけられています。回答者の45％が規制当局からの圧力によりERMへの投資を増やしており、52％の組織がERMは契約管理、パフォーマンス管理、財務管理を含むより広範な概念に変わりつつあると述べています。

ERM は、すべてのリスクをカバーするサイバーセキュリティ保険に加入するのではなく、計画に基づいて実施されます。ERM を実施している組織は、リスクを評価し、さまざまな方法で対応しています。

リスクの許容度合
リスク回避または解消
保険によるリスクの軽減
内部統制手順やその他のリスク防止活動を通じたリスクの軽減

リスク管理計画が策定されると、多くの場合、リスク管理計画は関係者の間で共有されます。

他のリスクマネジメント手法と同様に、ERMは、リスクのマイナス側面に目を向けることを意思決定者に求めますが、同時に、彼らに対してリスク管理から生じる機会の可能性を探求して、リスクから生じる競争上の優位性も見つけ出すことを求めます。

リスクをゼロにすることはできませんが、管理することはできます。サードパーティとの関係管理に費やす時間と労力を削減するには 、プロセスの一部を自動化するインテリジェントなツールを検討してください。

○藤本 大(SecurityScorecard株式会社 日本法人代表取締役社長)

1996年に日本電信電話株式会社に入社し、東日本電信電話株式会社、NTTコミュニケーションズ株式会社で法人営業に従事。 製造業、サービス業、金融業等の大手日本企業や外資企業を担当し、ネットワークサービスのみならず様々なセキュリティサービスを提供。 2017年にファイア・アイ株式会社に入社、パートナー営業部長として主に大手通信事業者とのパートナービジネスの拡大に貢献。 2020年7月1日にSecurityScorecardに入社し、2021年6月24日より現職。
1971年長崎県長崎市生まれ。青山学院大学国際政治経済学部卒業。
（）