サードパーティ リスク管理 (TPRM) は、現代の企業が直面する最も重要な課題の 1 つとなっています。組織がより多くのベンダー、SaaS ツール、テクノロジー パートナーに依存するにつれ、可視性が低下し、監視が厳しくなり、サードパーティ リスクが効果的に管理されていることを証明するというプレッシャーの増大に直面しています。
新しいベンダーが登場するたびに新たな潜在的な障害点が生じますが、セキュリティ チームは手動レビュー、証拠収集、アンケートに毎週何時間も費やしています。顧客、経営陣、規制当局は現在、より明確な保証を期待していますが、従来のベンダーレビューではリスクを継続的に把握することができず、チームの作業が遅れてしまう可能性があります。
ヨーロッパでは、NIS 2 や DORA などの規制により、組織がサプライ チェーンとベンダーのセキュリティを管理する方法の基準が引き上げられ、この圧力が加速しています。ベンダーのエコシステムが拡大し、新しいテクノロジーが採用されるにつれて、リスクとそれを管理するプレッシャーが増大しています。
リスクは増大しており、性質も変化している
ヴァンタさんによると 信頼状態レポート、セキュリティリーダーの 3 分の 2 以上 (72%) が、全体的なリスクがかつてないほど高くなったと回答しています。
この変化は人工知能 (AI) によって推進されています。脅威はより高速かつスケーラブルになり、検出が困難になっています。攻撃は数時間で実行される可能性がありますが、AI が生成するフィッシング、マルウェア、詐欺の頻度と巧妙さは両方とも増加しています。
同時に、組織はますます複雑なエコシステムで運営されており、56% が過去 6 ~ 12 か月以内にベンダー関連の侵害を報告しています。
信頼の大切さ
信頼は非常に重要です。セキュリティとコンプライアンスの強化は顧客の信頼に直接影響し、組織の 77% が利害関係者が検証済みの証拠を要求していると報告しています。
しかし、自信と現実の間にはギャップがあります。組織の 80% は、ベンダーが侵害を開示すると確信していますが、企業はベンダーが安全であると想定する余裕はありません。検証可能で継続的な保証が必要です。
さらに、ヨーロッパ全土で、信頼はプライバシーと密接に結びついています。これは、サプライヤーのデューデリジェンスは、ベンダーが侵害に遭っているかどうかだけではなく、ベンダーがデータをどのように処理、保存、転送、使用するかについても重要であることを意味します。
AI が関与すると、プライバシーの重要性はさらに高まります。AI は、最近ではベンダー製品やワークフローのシェアを拡大しています。ベンダーは、多くの場合、明確なガバナンス モデルを持たずに、AI を製品やワークフローに急速に組み込んでいます。そして、AI の導入は理解よりも早く進んでおり、 組織の 59% が、AI 関連のセキュリティ脅威がチームの専門知識を上回っていると報告しています。
信頼を得るために、組織はデータの取り扱いとプライバシーに関する義務を精査し、強化するなど、プライバシーを実証するためにさらに努力する必要があります。
保証税
チームはこれに対処するためにこれまで以上に懸命に取り組んでいますが、その努力はしばしば誤った方向に向けられます。セキュリティ チームとコンプライアンス チームは、証拠の収集、アンケートの記入、ベンダー レビューへの回答など、手作業に追われています。
この増大する「保証税」(セキュリティを改善するのではなく証明するために費やされる時間)は、運営上の重大な負担になりつつあります。
企業にとって、ベンダーが一度レビューされているかどうかはもはや問題ではありません。すでに手一杯になっているセキュリティ チームに手作業をさらに追加することなく、ベンダー リスクを継続的に評価、監視、証明できるかどうかが重要です。
大手企業が TPRM ソリューションとして Vanta を選択する理由
セキュリティ チームは進化しており、時点でのレビューから継続的な可視性と AI 主導のワークフローに移行しています。ヴァンタさんの サードパーティのリスク管理ソリューション は、エージェント AI、継続的監視、深い GRC 統合を 1 つのプラットフォームに統合し、ベンダー セキュリティを静的なチェックボックスの実行から常時稼働のインテリジェントなプロセスに変換します。
Vanta の AI を活用した TPRM ソリューション ベンダー リスク管理の最も時間のかかる部分を自動化します。その AI エージェントは、ベンダーの証拠を収集し、アンケートに基づいてセキュリティ文書を分析し、リスクにフラグを立てて、優先順位の高い概要を作成します。これにより、レビュー サイクルが最大 50% 短縮され、証拠収集時間が 62% 短縮されます。ベンダーの場合、AI は既存のドキュメントを使用してほとんどのアンケート回答を事前に入力し、所要時間を短縮します。
Vanta は、評価だけでなく、ベンダー資産をスキャンしてリアルタイムで脅威を表面化し、ポイントインタイムのレビューを常時の可視化に置き換えることで、継続的なリスク監視を可能にします。また、Shadow IT/AI Discovery を通じて未承認のツールを特定し、Vanta Exchange を通じてコラボレーションを合理化することもできます。
Vanta は、サードパーティのリスクをより広範な GRC プログラムに統合し、ベンダーの洞察をコンプライアンスとリスク登録に提供します。これにより、単一の信頼できる情報源が作成され、監査が簡素化され、証拠が最新の状態に保たれ、ISO 27001、SOC 2、NIS 2 などのフレームワークと整合していることが保証されます。
Vanta についてのお客様の声
ヴァンタの顧客 顔料 は、不必要な複雑さを加えることなく、セキュリティを成長に組み込むことで、ベンダー リスクを大規模に運用できるようになりました。 Vanta のベンダー リスク管理ソリューションを使用することで、Pigment のチームはすべてのベンダーのセキュリティ ステータスの最新の概要を継続的に入手できます。セキュリティ要求に迅速に対応できるため、販売サイクルが短縮されます。
Pigment の最高情報セキュリティ責任者、クエンティン ベルドゥゴ氏は次のように説明しています。「Vanta のおかげで、多くの退屈な作業が軽減されました。そのため、セキュリティ プログラムの構築と体制の強化に集中することができました。」
同様に、 デュオリンゴ は、Vanta のベンダー リスク管理ソリューションを通じてベンダー レビュー プロセスを合理化しました。 Duolingo のリード セキュリティ リスク プログラム マネージャーである Mandy Matthew 氏は、「自動テスト、手動テスト、ポリシー、ベンダーのセキュリティ評価など、すべてが Vanta にあります。これは、当社の姿勢を社外に表明し、当社のプログラムを社内に伝達するのに役立ちます。」と付け加えています。
TPRMの新しいベースライン
エコシステムが拡大し、AI 導入が加速し、利害関係者の期待が高まっている世界では、組織はベンダー リスクに対する静的なアプローチに頼ることはできません。
TPRM は、ベンダー ネットワーク全体のセキュリティを時間の経過とともに監視、検証、改善する継続的な機能になりつつあります。 TPRM は、ベンダー レビューにおける摩擦を軽減し、サプライヤーの監視を改善し、チームによる信頼とプライバシーの継続的な管理を支援することで、組織がサードパーティ エコシステムを拡張するためのより信頼性の高い方法を提供します。