[2024年更新] CTPRPの無料テストエンジンは、認定専門家によって検証されました[Q62-Q83]。

サードパーティのリスクアセスメントにおけるデューデリジェンスの実施とは、サード パーティから提供された情報を検証し、妥当性を確認するとともに、その関係から生じる可能性の あるリスクや問題を特定し、評価するプロセスである。デューデリジェンスの方法は、サードパーティとの契約 の種類、範囲、及び複雑さによって異なるが、一般的には以下のステップを含む123 ：
* 対象事項の専門家又は統制所有者へのインタビュー：この方法は、ビジネスオーナー、プロジェクトマネジャー、法律顧問、コンプラ イアンス担当者、セキュリティアナリストなど、組織とサードパーティ双方に関 連する利害関係者との面談を伴う。面談の目的は、サードパーティの能力、プロセス、方針、パフォーマ ンス、課題に関する詳細な情報を収集すること、及び、質問票やその他の情報源か ら生じる可能性のある疑問や懸念を明らかにすることである。また、インタビューは、当事者間の信頼関係を築き、提供された情報のギャップや食い違いを特定するのにも役立つ。
* コンプライアンス成果物のレビュー：この方法では、認証、認定、監査報告書、方針、手順、契約書、SLA など、サード パーティの主張または主張を裏付ける証拠または文書を調査する。レビューの目的は、成果物の正確性、完全性、妥当性を検証するとともに、適用される基準、規制、ベストプラクティスへの準拠レベルを評価することである。また、サードパーティのコントロールやプロセスに改善点や弱点がないかを確認するのにも役立ちます。
* 管理策の検証：統制の検証：この方法は、セキュリティ対策、品質保証、データ保護、インシデント対応など、サードパーティの統制又はプロセスの実際の実施及び有効性をテスト又は検査することを含む。バリデーションの目的は、統制が意図され期待されたとおりに運用されていること、及びアセスメントで特定されたリスク又は問題を軽減するのに十分であることを確認することである。バリデーションは、サードパーティのコントロールやプロセスにおける脆弱性やギャップの特定にも役立つ。
他の選択肢は、サードパーティリスク評価のすべての側面又は次元を網羅しないか、不完全又は古 い情報に依拠する可能性があるため、上記の方法ほど包括的又は正確ではない。施設ツアーを実施することによる物理的及び環境的なセキュリティ管理の検査は、検証方法の一 部にすぎず、クラウドサービスプロバイダーやリモートワーカーなど、すべての種類のサードパーティに適 用できるとは限らないし、実行可能とも限らない。質問票からの発見事項のステータスをレビューし、改善計画を定義することは、質問票が既に完了し、分析されていることを前提としているため、デューディリジェンスの手法というよりは、むしろフォローアップやモニタリングの活動である。契約で明確に定義された義務のみをレビューし、評価することは、サードパーティとの関係の全範囲や複雑さ、あるいは関係するリスクや問題の動的で発展的な性質を捉えられない可能性があるため、狭く限定的なアプローチである。参考文献
* 第三者によるデューデリジェンス - 重要だが困難なプロセス
* リスクベースの第三者デューデリジェンスガイド - VinciWorks
* サードパーティリスク評価 - チェックリストとベストプラクティス

ウェブコンテンツ・アクセシビリティ・ガイドライン（WCAG）は、視覚、聴覚、認知、あるいは運動機能障害などの障 害を持つ人々が、ウェブコンテンツをより利用しやすくすることを目的とした一連の標準です。WCAG は、ウェブ開発とユーザビリティのためのグッドプラクティスですが、ウェブアプリケーションのセキュリ ティには直接関係しません。
WCAGは、インジェクション、壊れた認証、誤った設定、脆弱なコンポーネントなど、ウェブアプリケーションが直面する一般的なセキュリティリスクには対処していません。したがって、WCAGを遵守することは、他の選択肢とは異なり、ウェブアプリケーションを安全にするための方法ではありません。参考文献
* 4: OWASP Top 10 は、ウェブアプリケーションセキュリティに関する標準的な認識文書であり、ウェブアプリケーショ ンに対する最も重大なセキュリティリスクを列挙し、それらを防止または緩和するためのベストプラクティスを提供しています。
* エラー処理、データ保護、設定、認証、セッション管理、入出力処理、アクセス制御のベストプラクティスを網羅し ている。
* 6: 技術者向けのプラットフォームであるBuilt Inは、ウェブアプリケーションファイアウォールの使用、APIの追跡、期待されるアプリケーションの動作の強制、OWASP Top 10の遵守など、13のウェブアプリケーションセキュリティのベストプラクティスを提供している。

シャドーITとは、正式なIT部門によって認可、承認、またはサポートされていないITシステム、サービス、またはデバイスの使用を指します。シャドーITは、組織のデータ・セキュリティ、コンプライアンス、パフォーマンス、評判に重大なリスクをもたらす可能性がある。シャドーITの主なリスクの1つは、ガバナンスとセキュリティの監視が欠如していることが多いことです。つまり、シャドーIT機能は、データ保護、アクセス制御、暗号化、バックアップ、パッチ適用、監査、報告など、IT管理に関する確立されたポリシー、標準、ベストプラクティスに従っていない可能性がある。これにより、組織は、データ漏洩、サイバー攻撃、マルウェア感染、法的責任、規制上の罰金、風評被害など、さまざまな脅威にさらされる可能性がある。さらに、シャドーITは、運用の非効率性、互換性の問題、努力の重複、組織のコスト増を引き起こす可能性がある。
search_webツールによるウェブ検索結果によると、シャドーITは、特にクラウドベースのサービスやアプリケーションの普及に伴い、多くの組織で一般的かつ拡大しつつある現象である。記事の中には、シャドーITのリスクを管理・軽減するためのベストプラクティスとして、以下のようなものが提案されている123：
* シャドーITを事前に検出するためのSaaS評価の実施
* ユーザー・エクスペリエンス（UX）を優先し、ツールの統合をサポートする。
* ユーザーアカウントとアイデンティティ管理の合理化
* 従業員が慣れ親しんでいるオペレーティング・システムやデバイスを使用する。
* シャドーITリスクを最小化するためのユーザーとの妥協と協力
* シャドーITのセキュリティリスクと結果について、ユーザーを教育・訓練する。
* ITの調達と使用に関する明確な方針とガイドラインの確立
* シャドーIT」機能には、ガバナンスとセキュリティの監視が欠けていることが多い。
参考文献
* シャドーITの説明：リスクと機会 - BMCソフトウェア
* 3つのステップで、組織のシャドーITリスクを削減しましょう。
* シャドーITとは何か？- 記事｜セイルポイント

ベンダーの再評価を実施する頻度は、必ずしも規制上の義務に規定されるものではなく、 むしろベンダーのリスク格付けと重要性、およびベンダーの環境、パフォーマンス、 コントロールの変化によって決まる。規制上の義務は、ベンダーの再評価のための何らかの指針や最低要件を提供する かもしれないが、再評価の頻度を決定する唯一の要因ではない。シェアード・アセスメント・プログラム・ツール・ユーザ・ガイドによると、「再評価の頻度は、ベンダーのリスク評価と重要度、及びベンダーの環境、実績、統制の変化に基づいて決定されるべきである。同様に、CTPRP スタディーガイドには、「再評価の頻度は、ベンダーのリスク格付けと重要性、およびベンダーの環境、実績、統制の変化に基づいて決定すべきである。規制上のガイダンスも、再評価の頻度に影響を及ぼす可能性がある：
* シェアード・アセスメント・プログラム・ツール・ユーザー・ガイド
* CTPRP スタディガイド

IT資産の耐用年数終了（EOL）プロセスでは、耐用年数の終了を決定するために特別に定期的なリスクアセスメントを実施するという要件は、通常含まれていません。EOLプロセスは一般的に、耐用年数またはサポート期間が終了したIT資産の廃止と安全な廃棄を管理することに重点を置いている。これには、資産のステータスの追跡、サードパーティのシステムやアプリケーションの更新とサポートの管理、日没時の資産の安全な破棄手順の確立などが含まれます。リスク評価はIT資産管理全体において極めて重要ですが、通常、資産のEOLステータスを決定する直接的な要素ではありません。
参考文献
* NIST Guidelines for Media Sanitization（NIST SP 800-88）に概説されているようなIT資産管理および廃棄のベストプラクティスは、EOL判定のための定期的なリスクアセスメントを特に義務付けることなく、IT資産の安全かつ環境に配慮した廃棄に焦点を当てている。
* 国際IT資産管理者協会（IAITAM）による「IT資産廃棄（ITAD）ベストプラクティスガイド」は、IT資産の追跡、更新、安全な廃棄を含む、効果的なEOLプロセスに関する洞察を提供する。

物理的アクセス手順と活動ログは、組織とその第三者の物理的資産とデータのセ キュリティと完全性の確保に役立つため、第三者リスク管理の重要な構成要素である。
しかし、監査目的で物理的アクセスログの無期限保持を要求することは、法的、規 制上及び運用上の問題を引き起こす可能性があるため、ベストプラクティスではない。第三者との関係のリスク管理に関する補足的な審査手続」によると、物理的なアクセ ス・ログは、組織の方針と手続に合致し、適用される法律と規制を遵守して、合理的な期間保 存されるべきである1 。物理的アクセスログを無期限に保持することは、不正アクセス、データ侵害、プライバシー侵害、訴訟のリスクを高める可能性がある2。したがって、物理的アクセス手順とアクティビティログのベストプラクティスを反映していないのは、ステートメント B だけであるため、ステートメント B が正解となる。
参考文献
* 1: サードパーティリスク管理（TPRM）方針と手順の書き方 - SecurityScorecard Blog
* 2: サードパーティリスクを管理・コントロールするための 5 つのベストプラクティス - Broadcom Inc.
* 3: 第三者リスク管理プラットフォームのチェックリスト - Crowe LLP
* 4：第三者との関係のリスク管理に関する補足的な審査手続
* 5: 第三者リスク管理：なぜ重要なのか、どのような特徴があるのか - 専門家の洞察

規則とは、法律の効力を持つ命令規則であり、上位または権限のある当局によって規定され、その当局の管理下にある者の行動に関連するものである。規則は、適用される管轄区域の立法府によって制定された法律の意図を実行するために、様々な政府省庁によって発行される。規則はまた、法律の均一な適用を保証する機能もある。規格とは、一般に民間団体によって制定され、民間、政府を問わず、あらゆる個人または組織が利用できるガイドラインのことである。この用語には、一般に「業界標準」と呼ばれるもののほか、次のようなものも含まれる。
コンセンサス・スタンダード」。規格は、製造業者、消費者、規制当局、専門家といった利害関係者の協力と合意による自主的なプロセスを通じて策定される。規格には、ベストプラクティス、技術仕様、性能基準、品質要件などが反映される。規格は、規制によって採用または参照されない限り、法的効力を持たない。したがって、規制は、その要件の対象となるすべての企業が遵守しなければならないが、企業は、自社の事業、製品、またはサービスに関連し、有益な基準に従うことを自主的に選択することができる。参考文献
* 規制と規格の違い
* 規制と基準：混同を解く - AEM
* 規格対規制
* 認定サードパーティリスクプロフェッショナル（CTPRP）学習ガイド

アセットマネジメントプログラムとは、物理的資産、財務的資産、人的資産、情報資産など、組織の資産の価値、パフォーマンス、ライフサイクルを最適化することを目的とした、一連の方針、手順、実践のことである123。アセットマネジメントプログラムは、通常、アセットマネジメントの以下の側面に関する方針要件を定義する：
* ポリシーには、物理メディア（デバイス、サーバー、ディスクドライブなど）の再利用に関する要件が記載されています：
この要件は、組織が、機密データや機密データを含む物理メディアを再利用、リサイクル、廃棄する前に、サニタイズ、ワイプ、または破壊するための適切な手順に従うことを保証する123 。この要件は、データの漏えい、盗難、損失を防止し、組織の評判とコンプライアンスを保護するのに役立つ123。
* 本方針は、雇用、契約、または合意の終了時に、従業員および請負業者が会社のデータお よび資産をすべて返却することを義務付けている：この要件は、従業員や請負業者がその雇用、契約、または合意123 の間に割り当て、貸与、またはアク セスしたすべてのデータや資産を、組織が確実に回収することを保証するものである。この要件は、組織のデータや資産のセキュリティ、完全性、可用性を維持し、不正または不適切な使用や開示を防止するのに役立つ123。
* 本方針は、機器および／または物理的媒体の目録、識別、および廃棄に関する要件を定義する：この要件は、組織が正確で最新の情報を維持することを保証する。
* 組織が所有、リース、または使用するすべての機器と物理メディアを記録し、それ らに一意の識別子を割り当てる123 。この要件はまた、組織が、不要になった、有用でなくなった、または機能しなくなった機器や物理メディアを廃棄するための適切な手順に従うことを保証する123。この要件は、組織の資産管理プロセスの効率性、有効性、及び説明責任を改善し、組織の資源の浪費、不正、又は誤用のリスクを低減するのに役立つ123。
しかし、オプションD、すなわち、来訪者（他のテナントや保守要員を含む）が施設にサインインし、サインアウトし、常に付き添うことを要求する方針要件は、通常、資産管理プログラムでは定義されない。むしろ、この要件は、組織の敷地、資産、及び要員を不正アクセス、損傷、又は危害から保護することを目的とする一連の方針、手順、及び実務である物理的セキュリティプログラムにおいて定義される可能性が高い。物理的セキュリティプログラムは、通常、物理的セキュリティの以下の側面に関する方針要件を定義する：
* 本方針は、来訪者（他のテナントおよびメンテナンス要員を含む）に対し、施設へのサインインおよびサインアウト、ならびに常時の付き添いを義務付けている：この要件は、組織が施設への訪問者のアクセスを管理・監視し、訪問者の身元、目的、および承認を確認することを保証する。
この要件はまた、組織が訪問者が制限区域や機密区域、設備、情報へアクセスすることを防止し、訪問中は訪問者をエスコートすることを保証する。この要件は、組織の施設、資産、および人員のセキュリティ、安全性、およびコンプライアンスを強化し、潜在的な脅威、事件、または侵害を防止するのに役立つ。
* 本方針は、施設およびその出入り口の施錠、警報、監視に関する要件を定義する：この要件は、組織が施設の周囲と内部を確実に保護し、無許可または不審な活動や侵入を検知して対応することを保証する。この要件はまた、組織が、不正アクセスを抑止、防止、または遅延させるために、鍵、アラーム、カメラ、警備員、または障壁などの適切かつ効果的な物理的セキュリティ手段を使用していることを保証する。この要件は、組織の施設、資産、および要員を、窃盗、破壊行為、妨害行為、または攻撃から保護するのに役立つ。
* 本方針は、施設とその居住者の緊急事態への備えと対応に関する要件を規定する：この要件は、組織が、施設およびその居住者に影響を及ぼす可能性のある火災、洪水、地震、停電、能動的犯行などの緊急事態に対処するための手順を計画し、実施することを保証するものである。この要件はまた、組織が、消火器、救急箱、避難経路、緊急連絡先、訓練など、緊急事態への備えと対応のために、適切で利用しやすい設備、資源、訓練を提供することを保証する。この要件は、組織の施設、資産、人員の安全、健康、継続性を確保し、緊急事態の影響と損害を最小限に抑えるのに役立つ。
したがって、選択肢Dは、アセット・マネジメント・プログラムで一般的に定義されているポリシー要件を反映していない唯一の選択肢であり、正解である。参考文献以下の資料が検証された解答と説明をサポートしています：
* 1：資産管理ポリシーガイド＋無料テンプレート｜Fiix
* 2: 資産管理方針：ゼロから構築する方法 - Limble CMMS
* 3: 資産管理方針、戦略、ガバナンスの枠組みをどのように構築するか：自治体における資産管理への一貫したアプローチの確立
* :物理的セキュリティポリシー - SANS
* :物理的セキュリティポリシー - ITガバナンス

アウトソーサーのベンダーのリスク評価プロセスには、選択肢A、B、Cのすべてのステップを含めるべきである。しかし、オプションDは、ベンダーの実際のリスクレベルを反映するものではなく、むしろアウトソーサーの組織内のリソースの利用可能性を反映するものであるため、ベンダーのリスクアセスメントプロセスの必要な部分でも推奨される部分でもない。リソースの能力に基づいてアセスメントの頻度を定義すると、アウトソーサーの作業量、予算、スタッフに応じて、ベンダーのアセスメントが過小評価または過大評価される可能性がある。その結果、重要な問題を見落としたり、時間とコストを浪費したり、ベンダー監視プログラムにギャップを生じさせたりする可能性があります。したがって、選択肢Dはベンダーリスク評価プロセスに属さない唯一の選択肢であり、正解です。参考文献以下の資料は、検証済みの解答と解説をサポートしています：
* シェアード・アセスメントのCTPRPジョブ・ガイドの10ページ、セクション2.1.1には、"アセスメントの頻度は、リソースの有無ではなく、サードパーティのリスク階層に基づくべきである "と記載されている。
* ベンダーのリスク評価の頻度は、リソースの有無や都合ではなく、各ベンダーが組織にもたらすリスクのレベルに基づいて決定されるべきである。
* ステップ8：ベンダーのリスクアセスメントの頻度を決定する」では、「ベンダーのリスクアセスメントの頻度は、リソースの有無や都合ではなく、各ベンダーが組織にもたらすリスクのレベルに基づいて決定すべきである」とアドバイスしている。

IaaS（Infrastructure as a Service）とは、サーバー、ストレージ、ネットワーク機器など、仮想化されたハードウェア・リソースへのアクセスをユーザーに提供するクラウド展開モデルである。ユーザーは、クラウド・インフラ上に独自のオペレーティング・システムやアプリケーションをインストールして実行し、ハードウェア機器の構成や管理を完全にコントロールできる。IaaSは、クラウド環境の高い拡張性、柔軟性、カスタマイズ性を必要とする組織に適している。IaaSは、FaaS（Function as a Service）、PaaS（Platform as a Service）、SaaS（Software as a Service）といった他のクラウド展開モデルとは異なり、より高度なサービスをユーザーに提供し、基盤となるハードウェアの詳細を抽象化する。参考文献
* クラウド・インフラストラクチャ：4つの主要コンポーネントと展開モデル
* クラウド展開モデル - GeeksforGeeks
* オンプレミス・クラウド展開モデル：組織が所有するハードウェアの説明

TPRMプログラムの指標は、TPRMプログラムのパフォーマンス、有効性、成熟度を測る指標である。これらの指標は、事業部門、経営幹部、リスク委員会、取締役会などの様々な利害関係者に対して、TPRMプログラムの進捗、成果、課題を監視し、伝達するのに役立つ。しかし、TPRMプログラムメトリクスの報告レベルや変更頻度は、ステークホルダーの役割、責任、関心によって異なる123：
* ビジネスユニット：このレベルの報告は、ベンダーの評価、是正措置、問題、インシデントの状況など、TPRM プログラムの運用面に重点を置いている。このレベルのTPRMプログラムメトリクスの変更は、TPRMプログラムの日々の活動と成果を反映するため、頻繁かつ詳細である。
* 経営幹部：このレベルの報告は、事業目標との整合性、規制要件の遵守、主要なリスクの管理、リソースとコストの最適化など、TPRMプログラムの戦略的側面に焦点を当てている。このレベルのTPRMプログラムメトリクスの変更は、TPRMプログラムの全体的な方向性とパフォーマンスを反映するため、頻度は低く、より集約的である。
* リスク委員会：リスク委員会：このレベルの報告は、リスク選好度の評価、リスクプロファイルのレビュー、リスクポリシーの承認、リスク問題のエスカレーションなど、TPRMプログラムの監督面に重点を置いている。このレベルのTPRMプログラムメトリクスの変更は、TPRMプログラムのガバナンスと保証を反映するため、時折行われ、より分析的である。
* 取締役会：このレベルの報告は、リスク戦略の承認、リスク傾向の認識、リスク文化の指導、リスクイニシアチブの支援など、TPRMプログラムの諮問的側面に焦点を当てている。このレベルでのTPRMプログラムの指標の変更は、TPRMプログラムのハイレベルで長期的なビジョンと価値を反映しているため、まれで例外的なものである。
したがって、正解はD.取締役会である。取締役会は、TPRMプログラムの指標に変更が生じることが稀で例外的な報告レベルであるためである。参考文献
* 1: TPRMプログラムの成功を測る15のKPIと指標｜アップガード
* 2: 第三者リスク管理指標：...を強化するためのベストプラクティス｜Diligent
* 3: TPRM指標 - リスクストーリーを語る - シェアードアセスメント｜シェアードアセスメント

補償とは、契約上の義務であり、一方の当事者が他方の当事者に対し、特定の出来事や状況から生じる可能性のある損失や損害を補償することに同意するものである。相互補償とは、契約違反、過失、法律違反などによって生じた特定の損失や損害について、両当事者が互いに補償することに合意することを意味する。相互補償は、いずれかの当事者又はその顧客に影響を及ぼす可能性のあるセキュリティインシデント又は違反に対する責任及び法的責任を配分する仕組みを提供することができるため、各当事者が情報セキュリティリスクの量を共有することを可能にする。また、相互補償は、各当事者に対して、適切なセキュリティ管理と実践を維持し、セキュリティ・インシデントや侵害が発生した場合に協力し、効果的にコミュニケーションを図るインセンティブを与えることができる。
他の選択肢は、各当事者が情報セキュリティのリスク量を分担することを可能にする契約条項ではない：
* A. 責任制限とは、契約違反やその他の法的措置が発生した場合に、一方の当事者が他方の当事者に請求できる損害賠償の額や種類を制限する契約条項である。責任の限定は、一方の当事者の責任を軽減または上限を設定することはできても、必ずしも両当事者間でリスクを分散または均衡させることはできないため、各当事者が情報セキュリティリスクの量を分担することを可能にするものではない。
* B. サイバー保険は、サイバー攻撃、データ漏洩、その他のサイバーインシデントから生じるコストや損失をカバーする保険契約の一種である。サイバー保険は、各当事者が
* 情報セキュリティ・リスクは、第三者である保険会社に移転または軽減することはできるが、必ずしも両者間でリスクを配分または分担するわけではないため、情報セキュリティ・リスク量を共有することができる。
* C.不可抗力とは、天災、戦争、パンデミックなど、当事者のコントロールが及ばない不測の事態や不可避の事態が発生した場合に、当事者の一方または双方が契約上の義務を履行することを免除する契約条項である。不可抗力事象が発生した場合、契約を中断または解除することはできても、必ずしも両当事者間でリスクを分散または均衡させることはできないため、各当事者が情報セキュリティリスクの量を分担することはできない。
参考文献
* シェアード・アセスメント CTPRP スタディガイド』62 ページ、セクション 5.2.2：契約条件
* 第三者リスク管理ベンダー契約条件、セクション：補償
* 第三者ベンダーによるサイバーセキュリティリスクPwC、セクション契約条件
* サードパーティリスクマネジメント：サードパーティのエコシステム：利益を維持しながらリスクを管理する方法]、セクション：契約条件

説明されたシナリオは、ベンダーの資産管理プログラムの欠如を示している。効果的な資産管理プログラムには、ハードウェアとデバイスの正確なインベントリを維持し、それらの状態を監視し、紛失や不一致を速やかに特定して対応することが含まれる。会社のデータを2年間処理したノートパソコンとタブレットの紛失を発見できなかったことは、物理的資産の追跡と管理に不備があったことを示唆している。このような過失は、データ・セキュリティ、規制遵守、業務の完全性に関連するリスクにつながる可能性がある。強固な資産管理プログラムは、すべての資産が計上され、その使用状況が監視され、異常や紛失が迅速に特定され、対処されることを保証すべきである。
参考文献
* ISO/IEC 27001（情報セキュリティ管理）のようなIT資産管理標準は、資産のインベントリーを維持し、適切な管理策を実施して資産を保護することの重要性を強調している。
* 組織の資産
* 国際IT資産管理者協会（IAITAM）による「IT資産管理ハンドブック」は、資産の追跡、監視、損失防止のベストプラクティスを含む、包括的な資産管理プログラムの確立に関するガイドラインを提供しています。

サードパーティーリスクマネジメント（TPRM）とは、事業活動や機能を外部にアウトソーシングすることに伴うリスクを特定、評価、軽減するプロセスである。TPRMは、第三者の失敗や不正行為による潜在的な損害から顧客、利害関係者、規制当局の利益を守ることを目的とした様々な規制の影響を受ける。これらの規制は、業種、管轄区域、第三者との関係の性質によって異なる場合がある。したがって、組織は、毎年のリスクアセスメントにおいて、TPRMプログラムに影響を与える規制の目録を更新し、事業目的とリスク選好度に最も関連し、重要な規制に優先順位をつけることが重要である。
規制の優先順位を決定する最適なアプローチは、サービスプロバイダに特定の義務 の拡張を要求する適用可能な規制を特定することである。つまり、組織は、データ保護、セキュリ ティ、コンプライアンス、報告、監査、パフォーマンス基準など、組織とそのサード パーティ・パートナーに特定の要件や期待を課す規制に焦点を当てるべきである。これらの規制は、組織とサービス提供者の役割と責任、デューデリジェンスと監視活動の範囲と頻度、契約条項と条件、是正と終了の手順についても規定している場合がある。これらの規制を特定することで、組織は、TPRM プログラムが規制の期待や義務に合致し、第三者との関係に関連するリスクを効果的に管理・軽減できることを確実にすることができる。
サービス・プロバイダーに特定の義務の拡張を要求する規制の例をいくつか挙げる：
* 一般データ保護規則（GDPR）：一般データ保護規則（GDPR）：EUにおける個人データの収集、処理、移転に関する欧州連合の規則。GDPRは組織に対し、個人データを保護するための適切な技術的・組織的措置を実施し、データ保護について十分な保証を提供できるサービス・プロバイダーのみと契約することを求めている。
GDPRはまた、データ処理の対象、期間、性質、目的、および両当事者の権利と義務を明記した書面による契約をサービス・プロバイダーと締結することを組織に義務付けています。GDPRはまた、データ侵害や違反が発生した場合の厳格な通知および報告要件を課している。
* 医療保険の相互運用性と説明責任に関する法律（HIPAA）：これは、個人の健康情報のプライバシーとセキュリティを規制する米国連邦法である。HIPAAは、医療提供者、医療計画、医療仲介機関などの対象事業体に対し、患者の健康情報を保護し、許可された当事者とのみその情報を開示または共有することを義務付けている。HIPAAはまた、対象事業体に対し、事業体に代わって健康情報を取り扱ったり、アクセスしたりするサービス・プロバイダーと業務提携契約を結ぶことを求めている。これらの契約には、許可され要求される健康情報の使用と開示、健康情報を保護するためのセーフガードと対策、違反や事故が発生した場合の報告と通知の義務が明記されていなければならない。
* サーベンス・オクスリー法（SOX法）：サーベンス・オクスリー法（SOX法）：企業の財務報告と情報開示の正確性と信頼性を向上させることを目的とした米国連邦法。SOX法は、公開企業に対し、財務報告プロセスに関する内部統制の確立と維持、およびこれらの統制の有効性の評価と報告を義務付けている。SOX法はまた、公開企業に対し、外部監査人が独立した有資格者であることを保証し、内部統制に重大な弱点や欠陥があれば開示することを義務付けている。SOX法は、会計事務所、情報技術ベンダー、コンサルタントなど、公開会社の財務報告機能を実行またはサポートするサービス・プロバイダーにも適用される。SOX法は、公開会社に対し、サービス・プロバイダーの内部統制を評価・監視し、監査・報告範囲に含めることを求めている。
参考文献
* サードパーティのリスク管理と軽減｜ガートナー
* サードパーティリスク管理プログラムを開始するためのベストプラクティス
* 第三者リスク管理のベストプラクティスとその理由
* GDPRと第三者リスク管理
* ビジネス・アソシエイトおよび第三者サービス・プロバイダーのHIPAAコンプライアンス
* サードパーティ・サービス・プロバイダーに対するSOX法コンプライアンス要件

オープンソースアプリケーションの使用承認を得るための文書化されたプロ セスは、パッチ適用プロセスとは直接関係がないため、通常、ベンダーのパッチ管 理統制の評価には含まれない。パッチ管理統制とは、組織がソフトウェアの脆弱性に対するパッチを特定、取得、インス トール、検証できるようにするための方針、手順、およびツールのことである。パッチ管理統制の目的は、既知のソフトウェア欠陥の悪用リスクを低減し、パッチを適用したシステムの機能性と互換性を確保することである。オープンソースソフトウェアコンポーネントをベンダの製品またはサービスに使用することの法的、セキュリ ティ、および運用上の意味を評価する必要があるためである。オープンソースソフトウェアは、プロプライエタリなソフトウェアとは異なるライセン ス条件、品質基準、サポートレベルを持つ可能性があり、管理する必要のある脆弱性や依存 関係がさらに生じる可能性がある。したがって、オープンソースアプリケーションを使用するための承認を得るための文書化されたプロセスは、ベンダーにとって良いプラクティスであるが、それ自体はパッチ管理コントロールではない。参考文献
* エンタープライズ・パッチ管理計画ガイド
* システムパッチ管理の重要な側面のガバナンス
* 認定サードパーティリスクプロフェッショナル（CTPRP）学習ガイド

クラウド・ホスティング・ベンダー評価プログラムとは、組織のデータやアプリケーションをホスティングするクラウド・サービス・プロバイダー（CSP）のセキュリティ、コンプライアンス、パフォーマンスを評価するプロセスである。クラウド・ホスティング・ベンダー評価プログラムには、通常、以下の構成要素が含まれる123：
* 組織のイメージ・スナップショットの承認および管理プロセスの検証：このコンポーネントでは、組織のワークロードを実行する仮想マシンまたはコンテナのイメージ・スナップショッ トの作成、承認、保管、および削除方法を CSP が検証する。イメージ・スナップショットには、不正アクセスや改ざんから保護する必要がある機密データや構成設定が含まれることがあります。
* セキュリティ・サービスの文書と監査証明レポートの要求：この構成要素では、組織のデータとアプリケーションを保護するために CSP が実施しているセ キュリティ管理と実践を示す CSP の文書と報告書を要求し、レビューする。これには、サービス・レベル・アグリーメント（SLA）、セキュリティ・ポリシーおよび手順、セキュリティ認証および基準、脆弱性スキャンおよびパッチ適用報告書、インシデント対応計画および災害復旧計画、ならびに SOC 2 または ISO 27001 などの独立監査報告書が含まれる。
* パッチ適用責任の定義を提供するコンプライアンス証拠を要求する：この構成要素には、クラウド・インフラ上で実行されるオペレーティング・システム、アプリケーショ ン、およびライブラリのパッチ適用を CSP がどのように処理するかを尋ね、検証することが含まれる。パッチ適用 は、セキュリティ侵害を防止し、規制要件へのコンプライアンスを確保するための重要な活動である。組織は、クラウド環境のパッチ適用における CSP と組織の役割と責任、およびパッチ適用活動の頻度と範囲を理解する必要がある。
クラウド・ホスティング・ベンダーのアセスメント・プログラムにおいて、一般的に含まれないコンポーネントは、顧客が実施するペネトレーション・テストの実施である。ペネトレーション・テストとは、システムやネットワークに対するサイバー攻撃をシミュレートして、脆弱性や弱点を特定し、それを悪用する方法である。侵入テストは、CSP のセキュリティ態勢を評価するための貴重なツールとなり得るが、以下の理由により、通常、 クラウド・ホスティング・ベンダーの評価プログラムには含まれない：
* ペネトレーション・テストは、CSP のサービス利用規約または受諾可能な利用ポリシーに違反する可能性があり、こ れにより顧客がクラウド・インフラストラクチャ上で無許可または破壊的な活動を行うことが禁止または制限される可能 性があります。CSP の同意または認識なしに侵入テストを実施した場合、顧客は法的または契約上の結果に直面する可能性があります。
* 侵入テストは、CSP の通常業務を妨害し、または他の顧客のクラウド・サービスの可用性およびパフォー マンスに影響を与える可能性があります。顧客は、CSP のシステムまたはネットワークに意図しない損害または中断を引き起こす可能性があり、また CSP のリソースまたは注意を逸らすような誤ったアラームまたはアラートを誘発する可能性がある。
* 顧客は CSP の内部システムまたはネットワークへの可視性またはアクセスが制限されている可能性があり、また は侵入テスト活動を阻止または制限するセキュリティ・メカニズムまたは対策に遭遇する可能性があるため、 侵入テストは CSP のセキュリティの包括的または正確な評価を提供しない可能性がある。また、顧客は、他の顧客や CSP のデータまたはシステムにアクセスまたは侵害した場合、倫理的または法的な問題に直面する可能性もある。
したがって、検証済みの答えは D. 顧客が実施するペネトレーションテストの実施です。
参考文献
* クラウドベンダーを評価するための4つの重要なベストプラクティス
* 2024年におけるITベンダー評価のための質問票トップ11
* クラウドベンダーの評価｜正しい方法で行う
クラウドにおける侵入テスト：知っておくべきこと] * [クラウドにおける侵入テスト：知っておくべきこと] * [クラウドにおける侵入テスト：知っておくべきこと
クラウド侵入テスト：課題とベストプラクティス] * [クラウド侵入テスト：課題とベストプラクティス] * [クラウド侵入テスト：課題とベストプラクティス

デューデリジェンスとは、潜在的又は既存の第三者ベンダーに関連するリスクと機会を評 価するプロセスである。デューデリジェンスの範囲と深さは、そのベンダーが組織にもたらすリスクの程度によって異なる。低リスクのベンダーとは、組織の業務、レピュテーション、コンプライアンスへの影響が最小限であり、機密データや機密システムを取り扱わないベンダーである。低リスクのベンダーの場合、デューディリジェンスの実施には、サービスプロバイ ダーの能力、実績、及びコンプライアンスの十分な証拠として、サービスプロバイ ダーの自己評価アンケートの回答を受け入れることが含まれるかもしれない。自己評価アンケートは、ベンダーの組織、サービス、プロセス、統制、および方針に関する 情報を提供するためのツールである。組織はこの質問票を利用して、ベンダーの身元、資格、照会先、認定を確認し、ベンダ ーの組織の基準と期待との整合性を評価することができる。ベンダーの自己評価アンケートの回答をデューディリジェンスの主要な情報源とし て受け入れることは、組織にとって時間とリソースの節約になり、ベンダーに対する信頼 と信用を示すことにもなる。しかし、組織は、質問票が包括的で、適切で、更新されており、ベンダーの回答 が正確で、完全で、一貫していることも確認すべきである。
組織はまた、必要に応じてベンダーに追加的な情報や文書を要求し、ベンダーのパフォーマンスとコンプライアンスについて定期的なレビューや監査を実施する権利を留保すべきである。
他の選択肢は、より広範で厳格なデューディリジェンスの方法を含むか、デューディリジェ ンスとは直接関係がないからである。
サードパーティのリスク管理及び是正活動の状況に関する経営陣への報告書の作成は、ベンダ ーとの関係を監視・管理する上で重要な部分であるが、それ自体はデューディリジェンスではな い。サービス・プロバイダーの自己評価質問票と外部監査報告書をレビューすることは、デューデ ィリジェンスを実施するのにより徹底した方法であるが、低リスクのベンダー、特に外部監査報 告書が容易に入手できない場合や関連性がない場合には、必要でないか、実行可能でないかもしれ ない。将来の参考のために、サービス・プロバイダーの外部監査報告書を要求し、提出することは、デューデ ィリジェンスの文書と証拠を維持するための良い方法であるが、デューディリジェンス活動そのもの ではない。
参考文献
* 第三者リスク管理（TPRM）｜共有アセスメント
* ベンダー・デューデリジェンス戦略ガイドとチェックリスト｜Prevalent
* ベンダーのデューデリジェンス：実践ガイドとチェックリスト

パフォーマンス・リスクは、サードパーティが不十分なシステム又はプロセスのためにその義務を 果たせない可能性があるリスクと定義され、状況を正確に表している。この種のリスクには、サードパーティが要求されるパフォーマンスレベルでサービスや製品を提供する能力に関する懸念が含まれ、潜在的には、サードパーティの技術インフラ、業務手順、または管理慣行における制限に起因する。サードパーティリスクマネジメント（TPRM）において、パフォーマンスリスクを特定し管理することは、サードパーティベンダーが契約やサービスレベルの合意を確実に履行し、組織の運営やサービス提供への影響を最小限に抑えるために不可欠である。
参考文献
* 通貨監督庁(OCC)や連邦金融機関審査委員会(FFIEC)のようなTPRMガイドラインは、評価することの重要性を強調している。
* 第三者との関係に伴う業績リスクの管理
* ISACAによる「サードパーティ・リスク管理ガイド」は、サードパーティ・サービス・プロバイダーとの契約に関連する、パフォーマンス・リスクを含む様々なタイプのリスクについて論じており、徹底的なデューデリジェンスと継続的なモニタリングの必要性を強調している。

シェアード・アセスメント認定サードパーティリスクプロフェッショナル（CTPRP）スタディガイドによると、サードパーティリスクアセッサーの役割は、ISO、NIST、COBIT、COSOなどの業界フレームワークに基づいて、サードパーティーの統制の設計と運用の有効性を評価することである1。評価者の役割は、統制の有効性に関する意見を提供することではなく、事実に基づき客観的な方法で評価結果を報告することである2。また、評価者の役割は、統制環境を理解するために対象分野の専門家とディスカバリーを実施すること、統制をテストまたは検証することによって、リスク評価質問票からの回答をディスカバリーし、検証すること、およびコンプライアンス成果物をレビューし、統制属性の有無の評価に基づいて潜在的な統制ギャップを特定することである1。これらはすべて、業界のフレームワークを使用してコントロール評価を実施する際の評価者の役割を記述したものである。
参考文献
* 1: シェアード・アセスメント 認定サードパーティリスクプロフェッショナル（CTPRP）学習ガイド 29 ページ
* 2: 第三者リスクアセスメントとは？- リスクオプティクス

インシデント対応における通知義務とは、データまたはシステムに影響を及ぼすセキュリティ侵害またはインシデントについて、関係者に通知する法的または契約上の義務である。これらの義務は、インシデントの種類、範囲、影響、および関係する司法管轄権、業界、契約上の合意によって異なる場合がある。通知義務が発生する可能性が最も高い要因は、以下のとおりである：
* 規制要件：規制要件：異なる法律や規制が、セキュリティ・インシデントを経験した、または引き起こした組織に対して、異なる通知義務を課している場合がある。例えば、一般データ保護規則（GDPR）は、データ管理者に対し、個人データの侵害に気づいてから72時間以内に監督当局に通知すること、および侵害がデータ主体の権利と自由に高いリスクをもたらす場合は、影響を受けるデータ主体に不当な遅延なく通知することを義務付けている1。同様に、コンピュータセキュリティインシデント通知規則では、銀行とそのサービスプロバイダーは、業務、サービス、または顧客に重大な混乱、劣化、または障害を与えるコンピュータセキュリティインシデントが発生した後、できるだけ早く、遅くとも36時間以内に、主要な連邦規制当局に通知することが義務付けられている2。
* データの分類または機密性：データの分類または機密性：セキュリティ・インシデントに関与するデータの種類や機密性 も、通知義務に影響する可能性がある。例えば、データに個人を特定できる情報（PII）、健康情報、財務情報、その他の機密情報又は機微情報が含まれている場合、組織は、データ所有者、規制当局、法執行機関、又はその他の利害関係者に、インシデント及びプライバシー又はセキュリティに対する潜在的なリスクについて通知しなければならない可能性がある3。また、データの分類や機密性によって、通知の内容やタイミング、適切なコミュニケーションチャネルが決定される場合もある。
* 契約条項：契約条項：組織とサードパーティベンダー又はサービスプロバイダーとの間の契約合意には、セ キュリティインシデントが発生した場合の通知義務も規定されている場合がある。例えば、契約では、各当事者の役割と責任、通知手順とスケジュール、共有すべき情報、実施すべき改善措置、契約違反に対する罰則や責任などを定義することができる。契約条件には、組織またはサードパーティに適用される規制要件や業界標準を反映させることもできる。
通告義務が発生する可能性が最も低いのは、以下の要因である：
* データの暗号化：データの暗号化：データの暗号化は、不正なアクセス、変更、開示からデータを保護するセキュリ ティ対策である。データの暗号化は、悪意のある行為者にデータが暴露されるのを防止または制限できるため、セキュリ ティインシデントの影響や重大性を軽減できる可能性がある。しかし、組織がインシデントの性質と程度を評価し、暗号化が有効であったか危殆であったかを判断する必要があるため、データの暗号化によって通知義務がなくなるわけではない。さらに、データの暗号化は、削除、破損、ランサムウェアなどの他の種類の脅威からデータを保護するのに十分でない場合もある。したがって、データの暗号化は、インシデント対応における通知義務を左右する要素ではない。
参考文献
* 1：GDPR 第 33 条：監督当局への個人情報漏えいの通知
* 2：コンピュータ・セキュリティ・インシデント通知規則
* 3：サードパーティ・インシデントマネジメント（TPIM）：IRPとサードパーティのバランスをどうとるか
* :[サードパーティ・インシデント・レスポンスの改善］
* :[サードパーティ・インシデント・レスポンス・プレイブック］
* :[暗号化はデータ漏洩を防ぐか？］

第 4 -第 3 者リスクとは、組織の直接的なサードパーティパートナーの下請け業者、ベンダー、サービ スプロバイダーに関連する潜在的な脅威と脆弱性を指す。このようなリスクは、組織のセキュリティ、データ保護、および事業の回復力に影響を及ぼし得る、依存関係とエクスポージャの複雑なネットワークを生み出す可能性がある。このリスクを効果的に管理するために、組織は、拡大したベンダーやサプライヤーのネットワークについて包括的なデューデリジェンスを実施し、下請け活動の通知と承認を必要とする契約条項を盛り込むべきである。こうすることで、組織は、外注先が直接的なサードパーティパートナ ーと同じ基準と期待を満たしていること、また、組織のデータとシステムを保護する ための適切な管理と保護措置を講じていることを確認することができる。さらに、組織は、下請業者のパフォーマンスとコンプライアンスを定期的に監視・評価し、リスク環境の変化を反映するために、必要に応じて契約条項を更新する必要がある。参考文献
* 第4者リスクと非第3者リスクの理解：何を知るべきか？
* 第 4 者および第 N 者管理のベストプラクティス
* 第4者リスク管理ベストプラクティス

パッチ管理では、システムやアプリケーションに関連するサイバーセキュリティインシデント後の分析を行う際に、テストが最も重要な要素となる。展開前にパッチを適切にテストすることで、システムの機能やセキュリティに影響を与える新たな問題や非互換性をもたらすことなく、脆弱性に効果的に対処できるようになる。テストにより、組織は、システムまたはアプリケーションのパフォーマンスに悪影響を及ぼすことなく、パッチが特定されたセキュリティ問題を解決していることを検証できる。また、既存の構成や依存関係との潜在的な競合を特定するのにも役立つ。効果的なテスト戦略には、リグレッションテスト、パフォーマンステスト、セキュリティテストが含まれ、広範囲に展開する前に、パッチの有効性と安全性を総合的に検証する。このアプローチは、パッチ管理におけるベストプラクティスと一致しており、意図しない結果のリスクを軽減し、システムとアプリケーションの継続的なセキュリティと安定性を確保するための徹底的なテストの重要性を強調している。
参考文献
* ISO/IEC 27001（情報セキュリティマネジメント）などの業界標準は、パッチの有効性と影響を評価する際のテストの役割を含め、パッチを管理するための体系的なアプローチの重要性を強調している。
* インターネットセキュリティセンター（CIS）の「パッチ管理のベストプラクティス（Patch Management Best Practices）」のようなリソースは、パッチが安全かつ効果的に適用されていることを確認するための厳格なテスト手順を含む、パッチ管理プログラムの開発と実装に関するガイダンスを提供しています。