ベンダーのセキュリティ侵害のリスクを低減するための4つのステップ

2020年5月、米国を拠点とするクラウドコンピューティングプロバイダーであり、教育管理、資金調達、財務管理ソフトウェアを提供する世界最大級のプロバイダーである Blackbaud 社がランサムウェア攻撃を受けました。幸いなことに、サイバーセキュリティチーム、科学捜査の専門家、法執行機関によって、犯人は締め出されましたが、残念ながら、犯罪者は発見される前に、身代金として保持していたデータのサブセットをコピーしていました。Blackbaud は身代金を支払い、データが破棄されたことを確認したにもかかわらず、この攻撃は顧客のデータを危険にさらし、顧客への通知を数週間遅らせたことで、同社の評判はさらに悪化しました。

一見すると、Blackbaud 社は非常に強力なサイバーセキュリティプログラムを持っているように見えました。同社のウェブサイトでは、業界で認められたセキュリティ基準を遵守した、セキュリティに対する高い意識だけでなく、SOC2 タイプ 2 や PCI DSS の評価など、さまざまなネームバリューのある独立監査人の報告書を掲載していました。それにもかかわらず、同社のウェブページは侵入され、クライアントをサイバー攻撃の危険にさらすことになったのです。

サービス提供業者の違反から組織を守るにはどうすればよいでしょうか？

違反が発生した場合はすぐに対応する必要があります。そのため、ベンダーのデータ侵害が発生する前に対応策を立てておくことが重要です。弊事務所は、お客様のサービスプロバイダーでの侵害に備えて、お客様のデータを安全に保つために、以下のアクションを推奨しています。

1. ベンダーの違反の特定と通知の理解

クライアントに違反行為を報告する際、ベンダーはどのようなコンプライアンスの規制を受けますか？

一般データ保護規則（GDPR）に基づき、組織は、違反に関するすべての情報を収集し、すべての規制当局と、影響を受ける個人に通知する期間が設定されています。ベンダーは、データが危険にさらされているという報告を受けた場合、貴社の評判へのリスクを説明する責任があります。データ漏洩があった場合はベンダーがすぐに通知してくれるという保証がなければなりません。

ベンダーの違反の摘発を受けるために、どのようなステップを踏んでいますか？

違反通知の要件については、契約書を確認してください。見つからない場合は、ベンダーに連絡して、違反通知の要件を含めた計画を立てましょう。

• 明確な通知のタイムライン
• 影響を受ける NPI または PII 情報の取り扱いに関する明確な指示
• 侵害の保護と対応のためのアクションのステップ

2. RCA でベンダーの侵害に対応

ベンダーがコンプライアンスガイドラインに沿って、適時、明示的に貴社に報告していれば、迅速に対応できるスタッフが貴社を助けてくれます。適切なサイバーセキュリティのトレーニングを受けていれば、個人情報保護のリスクを軽減し、サイバー犯罪を解決する責任を回避できます。

一度違反を発見し、その影響を判断した場合、以下の事柄を行う必要があります。

• 特定の状況における貴社の義務と可能な救済策を評価するために、顧問弁護士と協力して作業を行います。貴社の義務は州によって異なる場合があります。
• 指定された期限内に報告を求められる可能性があるため、保険会社と連携して作業を行います。

ベンダーから事象に関する情報が提供されていない場合は、問題やイベントの「根本原因」を特定するための体系的なプロセスである根本原因分析（RCA）と、それに対処するためのアプローチを依頼する必要があります。RCA は、効果的な経営は「火事を消す」だけでなく、「火事を防ぐ」という考え方に基づいています。

RCA は次のような質問に答えることができます。

• どのようなデータが侵害されましたか？
• どんな問題が起きましたか？
• 侵害はいつ発生しましたか？

RCA に加えて、ベンダーのデータセキュリティポリシー、事象対応の計画、セキュリティ監査人および検査のための報告書、NDA 、データセキュリティトレーニングプログラムおよび規定を要求する権利があります。

3. ベンダーの違反に関係する利害関係者への報告

事象がどれほど破壊的なものであっても、社内外の利害関係者にベンダーの違反を報告することは不可欠です。主要な利害関係者は、組織内の IT リスクを評価する上で重要な役割を果たします。利害関係者は米国内国歳入庁（IRS）や法執行機関に連絡するのを援助します。事象対応の計画を見直し、スタッフ、寄付者、顧客、または譲与者など、さまざまな利害関係者のグループに対して適切なコミュニケーションテンプレートが用意されていることを確認します。

4. ベンダーの監視プロセスとサイバーセキュリティの強化

深刻な違反があった後、次に何をしますか？ベンダーの監視プロセスを再考する必要があるかもしれません。以下を実施することで、ベンダーリスクアセスメントを最適化できます。

• お客様のデータにアクセスしたり、ホストしたりすることができるベンダーのサイバーセキュリティの慣行を確認する。
• 事象対応の計画の中に「学んだ教訓」のセクションを設け、ベンダーのリスクアセスメントに結びつける。
• 将来のサイバー脅威を防ぐために、サイバーセキュリティ対策を見直す。

結論から言うと、標的性の高い第三者によるデータ侵害は年々増加しています。多くの場合、組織がハッキングされると、その組織のデータや他の企業のデータ、ベンダーのデータ、または個人のデータが漏洩する可能性があります。違反から組織を守るためには、包括的なベンダーリスク管理計画を策定し、契約を評価して最悪のケースに対応する必要があります。規模の大小にかかわらず、サイバー犯罪は避けられません。組織が保護されていることを確認するために、サイバーセキュリティ対策を見直すことが重要です。

幣事務所が援助できること

幣事務所のサイバーセキュリティの専門家が、サイバーセキュリティ評価の 7 つポイントを利用して、サードパーティのベンダーの侵害に対する、お客様のリスクを特定し、軽減するお手伝いをいたします。どこに脆弱性があるのか、ハッカーが何を見ているのかを知ることで、攻撃を未然に防ぐことができます。詳細については、Scott Petree までお問い合わせください。