NRIセキュア、セキュリティ対策状況を評価するプラットフォーム「Secure SketCH」において、サプライチェーン統制を高度化する新機能を提供開始

PR TIMES / 2024年3月21日 15時45分

特許出願中の新技術を実装

NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は、セキュリティ対策状況を評価するプラットフォーム「Secure SketCH（セキュアスケッチ）」において、多数のグループ会社や委託先企業を持つ企業・組織の複雑なサプライチェーンをより効果的・効率的に管理・統制する新機能「組織管理オプション（以下、本オプション）」を、本日より提供開始します。

Secure SketCHは、企業の情報セキュリティ担当者がWeb上で設問に回答することで、自社やグループ企業、委託先等の情報セキュリティ対策状況を診断・可視化し、必要なセキュリティ対策の把握と推進に役立てることができるサービスです。

昨今、サプライチェーン攻撃の脅威の高まりや経済安全保障推進法の要請により、グループ会社や委託先企業のサプライチェーンリスクに対するセキュリティ統制が求められています（ご参考を参照）。本オプションは、複雑なサプライチェーンネットワークをSecure SketCH上で「組織」として定義することで、組織間の境界を感じさせないシームレスなリスク統制を実現します（特許出願中）。

図1：複雑なサプライチェーンをSecure SketCHで構造的に可視化
[画像1: https://prtimes.jp/i/52432/135/resize/d52432-135-1eebda0876e73dc576b5-0.png ]

■「組織管理オプション」の概要
１．地域や事業セグメント別に「組織」を定義し、グループ会社を統制
複雑になりがちなグループ会社統制を、地域や事業セグメントのような任意の「組織」単位でグループ化し、アセスメントやその結果を組織ごとに可視化することが可能です。例えば、グローバル製造業の地域ごとのグループセキュリティ統制や、総合商社の事業セグメント別のグループ会社統制などで活用できます。

図2：組織ごとの評価結果の画面
[画像2: https://prtimes.jp/i/52432/135/resize/d52432-135-5a40f5e1cc2ce4b9ee51-0.png ]

２．委託先・サードパーティを統制し、サードパーティリスク管理を実現
委託先統制のリスク所有者（リスクオーナー）である事業部門別に委託先企業の管理・統制を行うことができます。共通の委託先企業を、複数の組織へ紐づけて管理することができるため、委託先企業のアセスメント結果も簡単に共有できます。本オプションを活用することで、金融業の三線防御モデル[i]におけるサードパーティリスク管理（TPRM）[ii]の実現や、「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」[iii]の実践につながります。

３．組織別に権限を管理
組織単位で管理ユーザー（組織メンバー）の設定を行えるため、適切な権限管理を実現できます。組織メンバーは、自組織の企業の評価を閲覧することはできますが、上位の組織や同等レベルの組織の評価は閲覧できません。

図3：組織ごとの管理ユーザーの設定画面
[画像3: https://prtimes.jp/i/52432/135/resize/d52432-135-d76fb6325d8cf0cdc37c-0.png ]

Secure SketCHについては、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/solution/secure-sketch

本オプションは、Secure SketCHの「GROUPSプラン」の機能として提供されます。詳細な説明資料は、次のWebサイトから入手していただけます。
https://www.nri-secure.co.jp/download/secure_sketch_organization-management-options

NRIセキュアは今後も、Secure SketCHの機能強化・品質維持向上に努め、グローバルな規模で安全・安心な情報システム環境と社会の実現に貢献していきます。

[i] 三線防御モデル：主に金融機関が統制活動とリスク管理に用いる代表的なフレームワークです。組織の体制・機能を三つの線で表し、一線にビジネス部門、二線に統制・管理部門、三線に独立した内部監査部門を位置づけます。モデル自体が時代とともに進化しており、2020年以降は組織の目的や戦略を達成するためにリスクを"管理"するアプローチが強調され、"防御"のみに重点が置かれないように、スリーラインモデルと呼ばれています。
[ii] サードパーティリスク管理（TPRM）：企業が外部パートナーやサプライヤーなどのサードパーティによる情報漏洩やセキュリティ侵害などのリスクを評価・管理するプロセスです。サードパーティのリスクを定期的に評価し、適切な対策を講じることで、組織のセキュリティを強化します。
[iii] 金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素：原題「G7 Fundamental Elements for Third Party Cyber Risk Management in the Financial Sector」は、G7のサイバー・エキスパート・グループによって策定された枠組みです。

■ご参考
・サプライチェーンのセキュリティ対応における課題サプライチェーンのセキュリティ統制業務は、DX（デジタルトランスフォーメーション）の進展にともない統制の対象範囲が広がり、継続的な統制が求められる一方で、企業ではセキュリティ人材が慢性的に不足していることもあり、企業規模によらず統制課題が浮き彫りになっています。

図4：サプライチェーンのセキュリティ対応における課題
[画像4: https://prtimes.jp/i/52432/135/resize/d52432-135-58828e4ba77d1dfbe08e-0.png ]

出所：NRIセキュアテクノロジーズ株式会社「NRI Secure Insight 2023」

企業プレスリリース詳細へ
 PR TIMESトップへ