自己評価アンケートは、サードパーティのリスク管理における重要なツールであり、ベンダーの運用、管理、コンプライアンス状況に関する詳細な情報を収集するように設計されており、組織が最小限のリソースで情報に基づいた意思決定を行うのに役立ちます。

アクセス権の付与、取り消し、または変更に関する明確なポリシーと手順を確立することは、ベンダーがネットワーク内で実行できるアクションを管理および制御し、機密データとシステムを保護するのに役立つため、非常に重要です。

「多層防御」セキュリティ モデルでは、最も内側の層は通常、最も機密性が高く重要な資産の保護に重点を置いており、多くの場合「プライベート内部」として分類されます。この層には、組織のインフラストラクチャとデータの中核となる機密性の高い側面を保護するように設計されたセキュリティ制御と対策が含まれます。これには、不正アクセスを防ぎ、データの整合性と機密性を確保するための、機密性の高いシステムとデータのアクセス制御、暗号化、監視などの制御が含まれます。
「プライベート内部」レイヤーは、組織の業務に不可欠であり、侵害された場合に最も重大な影響を及ぼす可能性がある重要な情報とシステムのセキュリティを維持するために不可欠です。
この層で強力なセキュリティ対策を実装することは、重要なインフラストラクチャや機密情報への物理的なアクセスに関連するリスクを軽減するために不可欠です。
参考文献:
* NIST SP 800-53（連邦情報システムおよび組織のセキュリティとプライバシー管理）やSANS Instituteの実装ガイドラインなどのセキュリティフレームワークと標準
「多層防御」では、組織の情報システムの最も内側の層を保護するための詳細な推奨事項を提供します。
* ASIS International の「Physical Security Principles」などの出版物では、アクセス制御システム、監視、侵入検知メカニズムなど、プライベート内部層を保護するためのベスト プラクティスについての洞察が提供されています。

リスク レジスターは、特定されたリスク、その確率、影響、ステータス、および軽減アクションを、サードパーティ関係のライフサイクル全体にわたって記録および追跡するツールです1。リスク レジスターには通常、次のコンポーネントが含まれます2。
* 各リスクの一意の識別子
* リスクとその原因の説明
* リスク評価表または階層に従ってリスクを評価または等級付けすること
* リスクが発生する可能性と影響、およびその深刻度の評価
* 提案された緩和措置の概要とリスク所有者の割り当て
* リスクと緩和措置の進捗状況に関する最新情報
* リスクを解決またはアクションを終了する目標日 ベンダー インベントリは、銀行組織が関与するすべてのサードパーティのリストであり、提供されるサービスの種類、範囲、性質、契約条件、パフォーマンス指標、リスク評価などの関連情報も含まれています3。ベンダー インベントリはリスク レジスターのコンポーネントではなく、サードパーティ リレーションシップ ライフサイクルの計画およびデューデリジェンス フェーズをサポートする別のドキュメントです。ベンダー インベントリは、契約額だけでなく、サービスの重要性、ベンダーのリスク レベル、関係の戦略的重要性などの他の基準によっても優先順位が付けられます。
参考文献:
* 1: サードパーティリスク管理（TPRM）：最終政府機関間ガイダンス、KPMG、2023年6月
* 2: サードパーティリスク管理 (TPRM) とは? 2024 ガイド、UpGuard、2024 年 1 月
* 3: サードパーティリスク管理ガイダンス、OCC Bulletin 2023-29、2023 年 10 月
* [4]: 認定サードパーティリスク専門家（CTPRP）学習ガイド、共有評価、2023年
* [5]: サードパーティリスクに関するベストプラクティスガイダンス、GARP、2023年2月

デューデリジェンスは、潜在的または既存のサードパーティベンダーに関連するリスクと機会を評価するプロセスです。デューデリジェンスの範囲と深さは、ベンダーが組織にもたらすリスクのレベルによって異なります。リスクの低いベンダーとは、組織の業務、評判、コンプライアンスへの影響が最小限で、機密データや機密システムを処理しないベンダーです。リスクの低いベンダーの場合、デューデリジェンスの実施には、サービスプロバイダーの自己評価アンケートの回答を、その能力、パフォーマンス、コンプライアンスの十分な証拠として受け入れることが含まれる場合があります。自己評価アンケートは、ベンダーが組織、サービス、プロセス、管理、ポリシーに関する情報を提供できるツールです。組織は、アンケートを使用して、ベンダーの身元、資格、推薦状、認定を確認し、ベンダーが組織の標準と期待に沿っているかどうかを評価できます。ベンダーの自己評価アンケートの回答をデューデリジェンスの主な情報源として受け入れると、組織の時間とリソースを節約できるだけでなく、ベンダーに対する信頼と自信を示すこともできます。ただし、組織は、アンケートが包括的で、関連性があり、最新のものであること、およびベンダーの回答が正確で、完全で、一貫していることも確認する必要があります。
組織は、必要に応じてベンダーに追加情報やドキュメントを要求し、ベンダーのパフォーマンスとコンプライアンスの定期的なレビューや監査を実施する権利も留保する必要があります。
その他のオプションは、より広範囲または厳格なデューデリジェンスの手法を必要とするか、デューデリジェンスに直接関連していないため、リスクの低いベンダーのデューデリジェンスの実施を最も適切に説明するものではありません。
サードパーティのリスク管理および修復活動の状況に関する報告書を経営陣に提出することは、ベンダーとの関係を監視および管理する上で重要な部分ですが、それ自体はデューデリジェンス活動ではありません。サービス プロバイダーの自己評価アンケートおよび外部監査レポートを確認することは、デューデリジェンスをより徹底的に実施する方法ですが、特に外部監査レポートがすぐに入手できない、または関連がない場合は、リスクの低いベンダーにとっては不要または実行不可能な場合があります。将来の参照用にサービス プロバイダーの外部監査レポートを要求して提出することは、デューデリジェンスの文書と証拠を維持するための良い方法ですが、それ自体はデューデリジェンス活動ではありません。
参考文献:
* サードパーティリスク管理 (TPRM) | 共有評価
* ベンダーデューデリジェンス戦略ガイドとチェックリスト | Prevalent
* ベンダーデューデリジェンス: 実践ガイドとチェックリスト