ニューヨーク州金融サービス局は今週、金融サービス企業に対してサードパーティプロバイダーを厳重に監視するよう促す長年の業界指針を更新して発表しました。 今回の指針の更新は多数ありますが、州によれば、主に技術環境の変化に応じて明確化を図るためのものです。局のプレスリリースでは、「新たな要件や義務を課すものではない」と述べられていますが、サイバーリスク企業Black Kiteの最高情報セキュリティ責任者ボブ・メイリー氏は、AIに関する条項など注目すべき点があると述べています。特に今週のAmazon Web Servicesの障害が、1つのサービスプロバイダーがインターネットの健全性に与える大きな影響を示したことを受けてのことです。 明確化されたルールは、ニューヨーク州で取引を行う銀行、保険、金融サービス企業に適用されます。これらのルールは、州のサイバーセキュリティ規則のパート500と呼ばれ、2017年に州民の個人情報を侵害するデータ漏洩の増加から金融サービス業界を守るために制定されました。ルールには報告義務、二要素認証の使用、データ保持要件などが含まれています。 ニューヨーク州のサードパーティサービスプロバイダー規則の初期にPayPalのグローバルサードパーティセキュリティ部門を率いたメイリー氏は、AIの追加が必要と判断されたのは、この技術が広く普及しているためだろうと述べています。こうした規制は、時代遅れになったり過度に制限的になったりしないよう、意図的に幅広く書かれていると指摘しました。 「これはまるで剣の刃の上を歩くようなものです」とメイリー氏は述べています。「AIやAIの利用についての文言が追加されており、ベンダーがどのようにモデルをトレーニングしているか、サードパーティでAIをどう扱うべきかについて契約書に盛り込むことを推奨しています。」 メイリー氏は、AIに関する指針は「素晴らしいこと」だが、サービスプロバイダーにとっては問題となる可能性もあると述べました。ベンダーの制限方法が分からず、「散弾銃的アプローチ」を取る企業も出てくるだろうと予想しています。彼は、顧客の承認なしにAIモデルに1つの変更も加えてはならないとする契約を見たことがあり、これでは俊敏性が損なわれる可能性があると振り返りました。 また、サードパーティプロバイダーの潜在的リスクについて事業責任者に周知を促す条項も評価しているとメイリー氏は述べました。ビジネスリーダーは、これまで以上に技術環境を把握しておく必要があるとしています。 ニューヨーク州のルールは多くの改訂を経てきました。メイリー氏は、過去のバージョンの中には必ずしも理にかなっていないものもあったが、それこそが改訂の目的だと述べています。 「当初の法律では、サードパーティを継続的に監視するか、年次のペネトレーションテストを受けることが重要だとされていました」と彼は述べました。「この2つは全く異なる概念です。」 翻訳元:

CSAは最近、長年のサードパーティリスク管理のギャップを埋めるために新しいセキュリティ規則を発表しました。 SaaS Security Capability Framework（SSCF）によって、Cloud Security Alliance（CSA）は新たなセキュリティ標準を定めました。 Danielala – shutterstock.com Cloud Security Alliance（CSA）のSaaS Security Capability Framework（SSCF）は、SaaSプロバイダーがゼロトラストの原則を自社環境に統合し、サードパーティによるリスクが増大する中で顧客に一貫したセキュリティコントロールを提供できるよう支援するものです。このガイドラインの発表は、最近のSalesforce SaaSアプリケーションへの攻撃を受けて、セキュリティ業界の注目を集めています。 この新しい規則は、SaaSアプリケーションのセキュリティに関する技術的な最低要件を定義する業界標準として機能し、特にいわゆる「共有セキュリティ責任モデル」の対象となるものに適用されます。 SSCFは、6つのセキュリティ分野におけるコントロールを定めています： 変更管理および構成管理; データセキュリティおよびプライバシーライフサイクル管理; アイデンティティおよびアクセス管理; 相互運用性およびポータビリティ; ログ記録および監視; セキュリティインシデント管理、電子証拠開示、クラウド・フォレンジック。 これらの分野は、一般的なビジネス要件を実際に顧客が設定・信頼できる具体的なSaaSセキュリティ機能に変換することを目的としています。例えば、ログ転送、SSO強制、安全な構成のポリシー、インシデント発生時の通知などが含まれます。 このアプローチは、ISO 27001のようなビジネス指向のセキュリティフレームワークを補完するものであり、置き換えるものではありません。 新しいSaaSフレームワークに対する専門家の声 SaaSセキュリティプロバイダーAppOmniの共同創設者兼CTOであり、SSCFの主執筆者であるBrian Soby氏は、SaaS Security Capability Frameworkを業界にとって重要な進歩と位置付けています。「これは、企業が古いリスク評価から脱却し、ゼロトラストの原則を本当にSaaS環境に統合するのを支援する、明確で統一された、そして切実に求められていた標準を提供します。」 ファイアウォールポリシー管理企業FireMonの国際事業担当SVPであるDavid Brown氏も進歩であるとしつつ、「フレームワークは、運用上のコントロール、特にネットワークポリシーの継続的な可視化、厳格な出口コントロール、自動化されたコンプライアンスチェックに落とし込まれて初めてリスクを低減できる」と指摘しています。 Brown氏はさらに、「ネットワーク構成のリアルタイム検証とSSCF要件を組み合わせることで、コントロールが機能していることを証明し、SaaS関連のリスクを大幅に削減できます」と述べています。 継続的な検証が必要 インターネットトラフィックの増大する割合が非人間的なアクターによって生成されています。ボット、エージェント、自動化システムがSaaSアプリケーションと従来の監視方法では見落とされがちな方法でやり取りしています。 APIContextのCEOであるMayur Upadhyaya氏は「SSCFは、SaaS環境における『デフォルトでのセキュリティ』がどのようなものであるべきかについて、切実に求められていた基準を提供します」と強調しています。「顧客領域内での技術的コントロールに焦点を当てている点は時宜を得ており、特に社内ユーザー、サードパーティ統合、機械によるトラフィックの境界がますます曖昧になっている現在において重要です。」 Upadhyaya氏はさらに「SSCFのようなフレームワークは、この拡張された領域を反映し、静的な構成だけでなく継続的な検証を促進する場合にのみ効果的です」と付け加えました。（jm） ニュースレターを購読する 編集部から直接あなたの受信箱へ 下にメールアドレスを入力して開始してください。 翻訳元:

組織は、今年Scattered Spiderハッキング集団によって展開された戦術から身を守るため、防御策を早急に更新する必要があると、Gartner Security & Risk Management Summit 2025で専門家が語りました。 同グループが用いる新しく、非常に効果的な手法に対処するためには、特にアイデンティティツールとコントロール、セキュリティプロセス、サードパーティリスク管理に重点を置くべきだとされています。 サミットのセッションで、リスクアドバイザリー会社Krollのアソシエイトマネージングディレクターであるジョージ・グラス氏は、Scattered Spiderが2025年4月から7月にかけて著名な標的を侵害する上で非常に成功した手法について議論しました。 このグループは、オンライン犯罪ネットワーク「The Com」に関連しており、4月と5月にMarks & Spencer (M&S)、Co-op、Harrodsなどの小売業者に対する複数の攻撃に関与していました。 その後6月には保険業界に標的を切り替え、さらに同月には運輸業界に移りました。攻撃は同じ手法で行われており、機密データへのアクセスやランサムウェアの展開に非常に効果的です。 グラス氏は、同グループが恐喝の手段として経営幹部に対し物理的暴力をほのめかす脅迫を用いたことがあると指摘しました。 その後、Scattered Spiderの活動は大幅に減少しており、グラス氏はこれを7月の容疑者逮捕や内部の「内紛」など、法執行機関の対応によるものとしています。 ShinyHuntersのような他の攻撃者もScattered Spiderと同様の戦術を用いて大きな成功を収めていることから、組織はこれらの戦術に対抗するためセキュリティ対策を更新することが不可欠です。 専門家は、Scattered SpiderやShinyHuntersなど「The Com」関連グループ間で多くの重複や協力があると考えています。 例えば、自動車メーカー大手Jaguar Land Rover (JLR)に対する最近のサイバー攻撃は、「Scattered Lapsus$ Hunters」と名乗るグループによるものであり、Scattered Spider、ShinyHunters、Lapsus$の間で協力があった可能性を示唆しています。 Scattered Spiderの手口：ケーススタディ グラス氏は、Krollのクライアントが受けたScattered Spiderによる攻撃について、その企業が最終的に阻止できた事例を紹介しました。 攻撃は、攻撃者がターゲットのITヘルプデスクに電話し、自分がアカウントにロックアウトされた従業員だと偽ることから始まりました。 パスワードがリセットされると、Scattered Spiderは「プッシュ通知疲労」を利用してユーザーの多要素認証（MFA）を突破しようとしました。これは、ユーザーにモバイルのプッシュ通知を大量に送り、誤って承認したり、通知を止めるために承認することを狙う手法です。 アカウントへのアクセスを得た後、攻撃者はすぐにMFAコードが送信されるデバイスを変更しました。 そこからScattered Spiderは、さらなるソーシャルエンジニアリング手法を活用し、ネットワーク上の機密システムへのアクセスを急速に拡大しました。

出典：Yuri Arcurs（Alamy Stock Photo経由） ニュース速報 SecurityScorecardは今月初め、カナダのスタートアップ企業HyperComplyを買収し、ベンダーがベンダー評価アンケートに回答するのを支援することで、サードパーティリスク評価の改善を図りました。 HyperComplyのセキュリティアンケート自動化およびコンプライアンス管理プラットフォームは、セキュリティアンケートや提案依頼書（RFP）への回答を自動化することで、企業がベンダーを評価するのを支援します。2019年に設立された同社は、機械学習と人工知能を人による検証と組み合わせることで、回答の正確性を確保しつつ、アンケートの完了に必要な作業量と時間を削減しています。 組織は、セキュリティ評価アンケートやサードパーティリスク評価を通じて、ますます複雑化するベンダーエコシステムを管理しています。これらの評価は、企業とベンダーの双方にとって手作業で時間がかかるものであり、各レビューにはコンプライアンスフレームワーク、セキュリティ管理、リスク管理手法に関する詳細な回答が求められると、SecurityScorecardのCEO兼共同創業者であるAleksandr Yampolsky氏は、買収発表のブログ記事で述べています。また、ベンダーは異なる顧客ごとに、わずかに異なる形式で似たような質問に何度も回答する必要があり、このプロセスは反復的かつ時間がかかるものとなっています。 「これらの手作業によるレビューは、ビジネス取引を遅らせ、脅威防止に集中できるはずの貴重な専門知識を消費してしまいます」とYampolsky氏は述べ、セキュリティチームが評価作業を進めている間、営業チームが契約を締結できないことに言及しました。 HyperComplyは、事前に検証されたコンテンツを使用して、アンケート項目の92%以上への回答プロセスを自動化することで、ベンダーの課題を解決します。また、ナレッジベース、ワークフロー、テンプレート、ブラウザ拡張機能などのツールも提供し、プロセスの迅速化を図っています。 これまで、SecurityScorecardはセキュリティチームがサードパーティのセキュリティリスクを評価・格付けすることを支援することに注力してきました。HyperComplyは、評価されるベンダーがセキュリティ保証プロセスの自分たちの部分を管理するのを支援します。SecurityScorecardの格付けデータとHyperComplyのコンプライアンス機能を組み合わせることで、企業はベンダーの導入を迅速化し、デューデリジェンスを効率化できるとYampolsky氏は述べています。 SecurityScorecardは、HyperComplyを単独のソリューションとして、またサプライチェーンリスク管理プラットフォームの一部として提供する予定です。これにより、顧客はこの技術をアンケート自動化ツールとしてのみ、またはより広範な検出・対応ワークフローの一部として利用できるようになります。統合されたサービスは今年後半に提供開始予定です。Yampolsky氏はまた、「顧客が依存している機能を削除したり変更したりする計画は現時点ではない」とも述べています。 取引の財務条件は開示されていません。 翻訳元:

株式会社アシュアードが「情報セキュリティ白書2025」に基づく解説セミナーを9月24日に開催。サードパーティリスク管理の重要性が焦点です。参加無料。詳細はWebで。

Librus株式会社が公開したインサイトレポートは、2024年の教訓を基にサードパーティリスクマネジメントの最新動向を分析し、企業の管理者に有益な情報を提供します。

Librus株式会社が発表したインサイトレポートでは、サードパーティリスクやパートナー企業の財務リスクについて分析されています。最新の動向を知る手助けになります。

: Cybercriminals are targeting software shops, accountants, lawyers

Verizon's Data Breach Investigations Report (DBIR) 2025 analyzed 22,052 security incidents, including 12,195 confirmed data breaches.

TechTarget and Informa Tech’s Digital Business Combine.

Bitsight reveals that UK companies are more exposed to cyber risk than global peers via their digital supply chains

はじめにこんにちは、株式会社スマートラウンドVP of Reliabilityの@shonansurvivorsです。SREやコーポレートIT等を担当しています。弊社プロダクトであるsmartroundは、セキュリティ等に関する第三者評価であるSOC2 Type2監査を受け、その保証報告書を受領しました(以降、「SOC2 Type2取得」と表現します)。https://prtimes.jp/ma

Data from Resilience found that third-party attacks made up 23% of material cyber insurance claims in 2024, with ransomware attacks targeting vendors a major driver

Chester Wisniewski, Global Field CISO at Sophos, explores ransomware shifts, quantum decryption, the need for stronger response to threats.

Venture capital firm Insight Partners suffered a cyberattack involving unauthorized access to its information systems.

Hello, I'm Fernando Montenegro and I recently joined Futurum Research as Vice President and Practice Lead for Cybersecurity Research. You may have seen

Fake Chrome sites spread ValleyRAT via DLL hijacking, targeting finance and sales with keylogging and remote execution.

いったいどういう理由で SecurityScorecard は「ワイは ASM や」と名乗りをあげないんですか、その方が絶対売れるでしょうに、と以前から疑問に思っていた質問を記者が投げかけると、藤本は SecurityScorecard と ASM の共通点と違いについて簡潔に説明してくれた。

Managing third-party risk in the SaaS era demands a proactive, data-driven approach beyond checkbox compliance.

Identity, data, and third-party risks worsen with SaaS sprawl. Secure your growing attack surface in 2025

アトミテックが金融機関向けにサードパーティリスク管理の資料を無料公開しました。新ガイドラインに沿った内容が充実。ぜひご活用ください。