近年は自社だけで業務を完結させることは難しく、外部の企業に業務を委託することが一般的です。
結果として、業務委託先、いわゆる「サードパーティ」は多くの企業から業務委託を受けるため様々な情報を持つものの、大企業に比べてセキュリティリソースが限られていることが多く、攻撃者にとって非常に魅力的な攻撃対象となります。
そのため、委託先企業においてセキュリティに関するインシデントも多発しており、サプライチェーン全体でのセキュリティ水準の底上げ・管理が欠かせません。

そうした状況を踏まえて、IPAが毎年発表している「情報セキュリティ10大脅威」においても、6年連続で「サプライチェーンの弱点を悪用した攻撃」がランクインしており、経産省や金融庁のガイドライン、NISTのCSFおいても「サプライチェーンリスク管理」が言及されています。

サプライチェーンは「委託先」「再委託先」「購買先」等を含めると、複雑なチェーン状に連なります。
サードパーティリスク管理の重要性が叫ばれる一方、その複雑性の高さとセキュリティリソースの制約から対応自体は非常に困難です。

本セミナーでは、委託元企業においても「サードパーティリスク管理」に対して割くことができるリソースが限られる中で、メリハリをつけたリスクベースでの運用を行うことで、実効性の高い管理方法を実現するための方法の一例をアシュアード所属のセキュリティ専門家（CISSP、PMP等取得）が解説します。

「委託先評価」をテーマに以下について紹介します。

・委託先において考慮すべきリスク
・最新の攻撃手法とインシデント事例の紹介
・委託先を評価するにあたっての手法
・委託先を評価する上での課題
・委託先を適切に評価するための解決策

植木 雄哉
株式会社アシュアード セキュリティエキスパート

国内大手SIerに新卒で入社後、官公庁・金融・製薬・流通業等の幅広い業界向けにOAインフラ・セキュリティ領域のコンサルティングや開発支援を実施。その後、外資系総合コンサルティングファームにマネージャーとして参画し、セキュリティコンサルティング案件を担当したのち、アシュアードに入社。ドメインエキスパートとしてサービス開発や顧客支援を担う。主な資格：CISSP、PMP。