ベンダーリスク、サードパーティリスク、エンタープライズリスクのマネジメントの違いは

ベンダーリスクマネジメント（VRM）、サードパーティリスクマネジメント（TPRM）、エンタープライズリスクマネジメント（ERM）、それぞれの違いは何でしょうか。

情報セキュリティにおいて、特にサードパーティが関係する場合、リスクマネジメントは非常に重要になります。Deloitteによる調査「Extended enterprise risk management (EERM) TPRM global 2020」によると、回答者の84％が、過去3年間にサードパーティ由来の侵害を経験したと回答しています。

米独立系調査会社Ponemon Instituteによると、サードパーティはデータ侵害に係る対応コストを悪化させる傾向があり、37万米ドル以上増加させることが明らかになっています。そのため、ベンダーやサードパーティは、組織にとってリスク管理上の懸念点となります。データ漏えいに関連する平均対応コストは392万米ドルですが、サードパーティによるデータ漏えいの場合、コストはさらに増大すると予測されています。

これは、サードパーティに対するサイバーセキュリティ対策を発注元企業が直接コントロールすることができないためです。そこで、重要になるのがさまざまなリスクに対する管理プログラムです。

ベンダーリスクマネジメント（VRM）とは

ベンダーリスクマネジメント（VRM）とは、ベンダー、サプライヤー、サービスプロバイダーが、データ漏洩の危険性、事業中断の可能性、業績への悪影響など、組織にリスクをもたらさないための審査プロセスです。

特に、サードパーティのベンダーリスクマネジメントは、購入先のサードパーティ、つまりベンダーとサプライヤーに特化したものです。サードパーティベンダーには、メーカーに部品を提供する企業から、クラウドストレージプロバイダー、その他のSaaS（Software as a Service）プロバイダーまで、定期的に購入するあらゆる製品・サービスの提供元が含まれます。

サードパーティリスクマネジメントとは

組織のほとんどは多くのサードパーティと取引をしており、サードパーティの役割は多岐にわたり、ベンダーも含め、パートナー、請負業者、コンサルタントなど、さまざまなカテゴリーに分類されます。

したがって、TPRMは、VRMだけでなく、サプライヤーのリスクマネジメント、ITベンダーリスク、属性ベースのアクセス制御（ABAC）コンプライアンス、契約リスクマネジメントなど、さまざまなサードパーティリスクマネジメントをカバーする包括的なものとなります。

TPRMプログラムの目的は、組織が関係を持つすべての外部当事者に関するリスクを特定・分類することで、各サードパーティの継続的な行動を評価し、サードパーティが組織にもたらす可能性のあるリスクを監視するために実施されます。

エンタープライズリスクマネジメント（ERM）とは

エンタープライズリスクマネジメント（ERM）とは、組織に対する潜在的なリスクや脅威を特定し、対処するプロセスです。VRMはベンダーに焦点を当て、TPRMはVRMより広い範囲を対象としていますが、それよりもさらに広い概念がERMです。TPRMとVRMはERMの傘下に位置します。

Deloitteの調査によると、ERMは成長分野に位置づけられています。回答者の45％が規制当局からの圧力によりERMへの投資を増やしており、52％の組織がERMは契約管理、パフォーマンス管理、財務管理を含むより広範な概念に変わりつつあると述べています。

ERM は、すべてのリスクをカバーするサイバーセキュリティ保険に加入するのではなく、計画に基づいて実施されます。ERM を実施している組織は、リスクを評価し、さまざまな方法で対応しています。

• リスクの許容度合
• リスク回避または解消
• 保険によるリスクの軽減
• 内部統制手順やその他のリスク防止活動を通じたリスクの軽減

リスク管理計画が策定されると、多くの場合、リスク管理計画は関係者の間で共有されます。

他のリスクマネジメント手法と同様に、ERMは、リスクのマイナス側面に目を向けることを意思決定者に求めますが、同時に、彼らに対してリスク管理から生じる機会の可能性を探求して、リスクから生じる競争上の優位性も見つけ出すことを求めます。

リスクをゼロにすることはできませんが、管理することはできます。サードパーティとの関係管理に費やす時間と労力を削減するには 、プロセスの一部を自動化するインテリジェントなツールを検討してください。