CSAは最近、長年のサードパーティリスク管理のギャップを埋めるために新しいセキュリティ規則を発表しました。 SaaS Security Capability Framework（SSCF）によって、Cloud Security Alliance（CSA）は新たなセキュリティ標準を定めました。 Danielala – shutterstock.com Cloud Security Alliance（CSA）のSaaS Security Capability Framework（SSCF）は、SaaSプロバイダーがゼロトラストの原則を自社環境に統合し、サードパーティによるリスクが増大する中で顧客に一貫したセキュリティコントロールを提供できるよう支援するものです。このガイドラインの発表は、最近のSalesforce SaaSアプリケーションへの攻撃を受けて、セキュリティ業界の注目を集めています。 この新しい規則は、SaaSアプリケーションのセキュリティに関する技術的な最低要件を定義する業界標準として機能し、特にいわゆる「共有セキュリティ責任モデル」の対象となるものに適用されます。 SSCFは、6つのセキュリティ分野におけるコントロールを定めています： 変更管理および構成管理; データセキュリティおよびプライバシーライフサイクル管理; アイデンティティおよびアクセス管理; 相互運用性およびポータビリティ; ログ記録および監視; セキュリティインシデント管理、電子証拠開示、クラウド・フォレンジック。 これらの分野は、一般的なビジネス要件を実際に顧客が設定・信頼できる具体的なSaaSセキュリティ機能に変換することを目的としています。例えば、ログ転送、SSO強制、安全な構成のポリシー、インシデント発生時の通知などが含まれます。 このアプローチは、ISO 27001のようなビジネス指向のセキュリティフレームワークを補完するものであり、置き換えるものではありません。 新しいSaaSフレームワークに対する専門家の声 SaaSセキュリティプロバイダーAppOmniの共同創設者兼CTOであり、SSCFの主執筆者であるBrian Soby氏は、SaaS Security Capability Frameworkを業界にとって重要な進歩と位置付けています。「これは、企業が古いリスク評価から脱却し、ゼロトラストの原則を本当にSaaS環境に統合するのを支援する、明確で統一された、そして切実に求められていた標準を提供します。」 ファイアウォールポリシー管理企業FireMonの国際事業担当SVPであるDavid Brown氏も進歩であるとしつつ、「フレームワークは、運用上のコントロール、特にネットワークポリシーの継続的な可視化、厳格な出口コントロール、自動化されたコンプライアンスチェックに落とし込まれて初めてリスクを低減できる」と指摘しています。 Brown氏はさらに、「ネットワーク構成のリアルタイム検証とSSCF要件を組み合わせることで、コントロールが機能していることを証明し、SaaS関連のリスクを大幅に削減できます」と述べています。 継続的な検証が必要 インターネットトラフィックの増大する割合が非人間的なアクターによって生成されています。ボット、エージェント、自動化システムがSaaSアプリケーションと従来の監視方法では見落とされがちな方法でやり取りしています。 APIContextのCEOであるMayur Upadhyaya氏は「SSCFは、SaaS環境における『デフォルトでのセキュリティ』がどのようなものであるべきかについて、切実に求められていた基準を提供します」と強調しています。「顧客領域内での技術的コントロールに焦点を当てている点は時宜を得ており、特に社内ユーザー、サードパーティ統合、機械によるトラフィックの境界がますます曖昧になっている現在において重要です。」 Upadhyaya氏はさらに「SSCFのようなフレームワークは、この拡張された領域を反映し、静的な構成だけでなく継続的な検証を促進する場合にのみ効果的です」と付け加えました。（jm） ニュースレターを購読する 編集部から直接あなたの受信箱へ 下にメールアドレスを入力して開始してください。 翻訳元:

組織は、今年Scattered Spiderハッキング集団によって展開された戦術から身を守るため、防御策を早急に更新する必要があると、Gartner Security & Risk Management Summit 2025で専門家が語りました。 同グループが用いる新しく、非常に効果的な手法に対処するためには、特にアイデンティティツールとコントロール、セキュリティプロセス、サードパーティリスク管理に重点を置くべきだとされています。 サミットのセッションで、リスクアドバイザリー会社Krollのアソシエイトマネージングディレクターであるジョージ・グラス氏は、Scattered Spiderが2025年4月から7月にかけて著名な標的を侵害する上で非常に成功した手法について議論しました。 このグループは、オンライン犯罪ネットワーク「The Com」に関連しており、4月と5月にMarks & Spencer (M&S)、Co-op、Harrodsなどの小売業者に対する複数の攻撃に関与していました。 その後6月には保険業界に標的を切り替え、さらに同月には運輸業界に移りました。攻撃は同じ手法で行われており、機密データへのアクセスやランサムウェアの展開に非常に効果的です。 グラス氏は、同グループが恐喝の手段として経営幹部に対し物理的暴力をほのめかす脅迫を用いたことがあると指摘しました。 その後、Scattered Spiderの活動は大幅に減少しており、グラス氏はこれを7月の容疑者逮捕や内部の「内紛」など、法執行機関の対応によるものとしています。 ShinyHuntersのような他の攻撃者もScattered Spiderと同様の戦術を用いて大きな成功を収めていることから、組織はこれらの戦術に対抗するためセキュリティ対策を更新することが不可欠です。 専門家は、Scattered SpiderやShinyHuntersなど「The Com」関連グループ間で多くの重複や協力があると考えています。 例えば、自動車メーカー大手Jaguar Land Rover (JLR)に対する最近のサイバー攻撃は、「Scattered Lapsus$ Hunters」と名乗るグループによるものであり、Scattered Spider、ShinyHunters、Lapsus$の間で協力があった可能性を示唆しています。 Scattered Spiderの手口：ケーススタディ グラス氏は、Krollのクライアントが受けたScattered Spiderによる攻撃について、その企業が最終的に阻止できた事例を紹介しました。 攻撃は、攻撃者がターゲットのITヘルプデスクに電話し、自分がアカウントにロックアウトされた従業員だと偽ることから始まりました。 パスワードがリセットされると、Scattered Spiderは「プッシュ通知疲労」を利用してユーザーの多要素認証（MFA）を突破しようとしました。これは、ユーザーにモバイルのプッシュ通知を大量に送り、誤って承認したり、通知を止めるために承認することを狙う手法です。 アカウントへのアクセスを得た後、攻撃者はすぐにMFAコードが送信されるデバイスを変更しました。 そこからScattered Spiderは、さらなるソーシャルエンジニアリング手法を活用し、ネットワーク上の機密システムへのアクセスを急速に拡大しました。

出典：Yuri Arcurs（Alamy Stock Photo経由） ニュース速報 SecurityScorecardは今月初め、カナダのスタートアップ企業HyperComplyを買収し、ベンダーがベンダー評価アンケートに回答するのを支援することで、サードパーティリスク評価の改善を図りました。 HyperComplyのセキュリティアンケート自動化およびコンプライアンス管理プラットフォームは、セキュリティアンケートや提案依頼書（RFP）への回答を自動化することで、企業がベンダーを評価するのを支援します。2019年に設立された同社は、機械学習と人工知能を人による検証と組み合わせることで、回答の正確性を確保しつつ、アンケートの完了に必要な作業量と時間を削減しています。 組織は、セキュリティ評価アンケートやサードパーティリスク評価を通じて、ますます複雑化するベンダーエコシステムを管理しています。これらの評価は、企業とベンダーの双方にとって手作業で時間がかかるものであり、各レビューにはコンプライアンスフレームワーク、セキュリティ管理、リスク管理手法に関する詳細な回答が求められると、SecurityScorecardのCEO兼共同創業者であるAleksandr Yampolsky氏は、買収発表のブログ記事で述べています。また、ベンダーは異なる顧客ごとに、わずかに異なる形式で似たような質問に何度も回答する必要があり、このプロセスは反復的かつ時間がかかるものとなっています。 「これらの手作業によるレビューは、ビジネス取引を遅らせ、脅威防止に集中できるはずの貴重な専門知識を消費してしまいます」とYampolsky氏は述べ、セキュリティチームが評価作業を進めている間、営業チームが契約を締結できないことに言及しました。 HyperComplyは、事前に検証されたコンテンツを使用して、アンケート項目の92%以上への回答プロセスを自動化することで、ベンダーの課題を解決します。また、ナレッジベース、ワークフロー、テンプレート、ブラウザ拡張機能などのツールも提供し、プロセスの迅速化を図っています。 これまで、SecurityScorecardはセキュリティチームがサードパーティのセキュリティリスクを評価・格付けすることを支援することに注力してきました。HyperComplyは、評価されるベンダーがセキュリティ保証プロセスの自分たちの部分を管理するのを支援します。SecurityScorecardの格付けデータとHyperComplyのコンプライアンス機能を組み合わせることで、企業はベンダーの導入を迅速化し、デューデリジェンスを効率化できるとYampolsky氏は述べています。 SecurityScorecardは、HyperComplyを単独のソリューションとして、またサプライチェーンリスク管理プラットフォームの一部として提供する予定です。これにより、顧客はこの技術をアンケート自動化ツールとしてのみ、またはより広範な検出・対応ワークフローの一部として利用できるようになります。統合されたサービスは今年後半に提供開始予定です。Yampolsky氏はまた、「顧客が依存している機能を削除したり変更したりする計画は現時点ではない」とも述べています。 取引の財務条件は開示されていません。 翻訳元:

株式会社アシュアードが「情報セキュリティ白書2025」に基づく解説セミナーを9月24日に開催。サードパーティリスク管理の重要性が焦点です。参加無料。詳細はWebで。

Librus株式会社が公開したインサイトレポートは、2024年の教訓を基にサードパーティリスクマネジメントの最新動向を分析し、企業の管理者に有益な情報を提供します。

Librus株式会社が発表したインサイトレポートでは、サードパーティリスクやパートナー企業の財務リスクについて分析されています。最新の動向を知る手助けになります。

はじめにこんにちは、株式会社スマートラウンドVP of Reliabilityの@shonansurvivorsです。SREやコーポレートIT等を担当しています。弊社プロダクトであるsmartroundは、セキュリティ等に関する第三者評価であるSOC2 Type2監査を受け、その保証報告書を受領しました(以降、「SOC2 Type2取得」と表現します)。https://prtimes.jp/ma

Data from Resilience found that third-party attacks made up 23% of material cyber insurance claims in 2024, with ransomware attacks targeting vendors a major driver

Hello, I'm Fernando Montenegro and I recently joined Futurum Research as Vice President and Practice Lead for Cybersecurity Research. You may have seen

Fake Chrome sites spread ValleyRAT via DLL hijacking, targeting finance and sales with keylogging and remote execution.

Managing third-party risk in the SaaS era demands a proactive, data-driven approach beyond checkbox compliance.

アトミテックが金融機関向けにサードパーティリスク管理の資料を無料公開しました。新ガイドラインに沿った内容が充実。ぜひご活用ください。

株式会社アトミテックが金融機関向けに、サードパーティリスク管理に関する無料資料を公開。今後のガイドラインにも対応した情報を提供します。

Building a third-party risk management framework (TPRM) is an ongoing process that requires commitment, resources and continuous improvement.