« 米国 国家情報長官室 「COVID-19の起源に関する評価の要約」を公表していますね | Main | 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか »

2021.09.02

世界経済フォーラム (WEF) 石油・ガス業界におけるサプライチェーン・セキュリティの推進:業界分析

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、「石油・ガス業界におけるサプライチェーン・セキュリティの推進:業界分析」という報告書を公表していますね。PwCが協力していますね。。。

World Economic Forum - White Papers

・2021.08.31 Advancing Supply Chain Security in Oil and Gas: An Industry Analysis

Advancing Supply Chain Security in Oil and Gas: An Industry Analysis 石油・ガス業界におけるサプライチェーン・セキュリティの推進:業界分析
Amid global supply shortages, the oil and gas industry, like many others, has increased its collaboration with third-party suppliers. This hyperconnectivity has increased the digital footprint of third parties and transformed business models quickly. However, as well as improving efficiency, such third-party expansion introduces significant cyber and operational risks. These risks may generate important consequences for an organization’s operations, reputation and, ultimately, its bottom line. This report is intended as a practical guide for cybersecurity leaders managing third-party cyber risks within oil and gas supply chains. It includes actionable guidance, methodologies and examples to improve the oversight of third-party risks and improve cyber resilience across the oil and gas business environment. 世界的な供給不足の中、石油・ガス業界は、他の多くの業界と同様に、第三者のサプライヤーとの連携を強めています。このようなハイパーコネクティビティは、第三者のデジタルフットプリントを増大させ、ビジネスモデルを急速に変化させています。しかし、このような第三者の拡大は、効率の向上だけでなく、重大なサイバーリスクやオペレーションリスクをもたらします。これらのリスクは、組織の運営、評判、そして最終的には収益に重要な影響を及ぼす可能性があります。本報告書は、石油・ガスのサプライチェーンにおける第三者のサイバーリスクを管理するサイバーセキュリティのリーダーのための実践的なガイドを目的としています。石油・ガスの事業環境全体において、第三者リスクの監視を改善し、サイバーレジリエンスを向上させるための実用的なガイダンス、方法論、事例がこの報告書には含まれています。

・[PDF

20210902-43102

Foreword 序文
Executive summary エグゼクティブサマリー
1 Key benefits and guiding principles 1 主な利点と指針
2 Holistic approach to managing third-party risks 2 第三者のリスクを管理するための包括的なアプローチ
3 Implementation guidelines 3 実施ガイドライン
 3.1 Assessment and evaluation in depth  3.1 評価と査定の詳細
 3.2 Contract and commissioning in depth  3.2 契約及び試運転の詳細
 3.3 Operation and monitoring in depth  3.3 運用およびモニタリングの詳細
Conclusion 結論
Appendix A: Assessment and evaluation – third parties cheat sheet 附属書A:評価・査定-第三者チートシート
Appendix B: Taxonomy 附属書B:分類法
Contributors 貢献者
Acknowledgements 謝辞
Endnotes 巻末資料

 

Executive summary エグゼクティブサマリー
Cyber risks rise with hyperconnectivity and a diverse and complex supply chain of third parties. サイバーリスクは、ハイパーコネクティビティと第三者の多様で複雑なサプライチェーンによって増大します。
The oil and gas industry’s digital transformation and hyperconnectivity have increased the digital footprint of third parties and transformed business models quickly, mainly through an increased focus on innovation and efficiency. Today, companies around the world rely on more than 1,000 third parties[1] to support this transformation in order to gain a variety of business benefits such as cost savings, operational efficiencies, scaling of capabilities and resources, and value generation.  石油・ガス業界のデジタルトランスフォーメーションとハイパーコネクティビティは、第三者のデジタルフットプリントを増大させ、主にイノベーションと効率性に焦点を当てることで、ビジネスモデルを急速に変化させてきました。現在、世界中の企業は、コスト削減、業務効率化、能力やリソースの拡張、価値の創出など、さまざまなビジネス上のメリットを得るために、この変革を支える1,000社以上の第三者[1]に依存しています。
Such third-party expansion introduces significant cyber and operational risks, including the mishandling of confidential data, failure to meet business operational and compliance needs, and a lack of adequate safeguards against cyber threats. These risks may generate important consequences for an organization’s operations, reputation and, ultimately, its bottom line. PwC’s Third Party Risk Management Digital Trust Survey Snapshot demonstrates that one-third of surveyed organizations experienced significant disruptions due to third parties, including software supply chain disruptions (47%), cloud breaches (45%), third-party platform exposures, and outages and downtime (41%).[2] The Colonial Pipeline ransomware attack represents the most recent example; the pipeline was shut down for several days, which had a significant impact on organizations that rely on critical third parties within their supply chain, leading to gas shortages in several US states. Colonial paid the ransom demand of approximately $4.4 million to reopen the pipeline.[3] A more recent example is the compromising of Kaseya, a managed technology services provider to many small and medium-size companies: the company’s safety features were subverted to push out malicious software to customers’ systems (around 1,500 companies).[4] These examples underscore the need for a harmonized and holistic third-party risk management approach to effectively identify, remediate and monitor cybersecurity risks across the third parties’ life cycle. このような第三者による拡大は、機密データの不適切な取り扱い、事業運営上およびコンプライアンス上のニーズへの対応の失敗、サイバー脅威に対する適切な保護措置の欠如など、サイバーおよび事業運営上の重大なリスクをもたらします。これらのリスクは、組織の運営、評判、そして最終的には収益に重要な影響を及ぼす可能性があります。PwCの「Third Party Risk Management Digital Trust Survey Snapshot」によると、調査対象となった組織の3分の1が、ソフトウェアのサプライチェーンの途絶(47%)、クラウドの侵害(45%)、サードパーティのプラットフォームの流出、停電やダウンタイム(41%)など、サードパーティによる重大な混乱を経験しています[2]。最近の例では、Colonial Pipeline社のランサムウェア攻撃が挙げられます。パイプラインが数日間にわたって停止したため、サプライチェーン内の重要なサードパーティに依存している組織に大きな影響を与え、米国のいくつかの州でガス不足が発生しました。Colonial社は身代金として約440万ドルを支払い、パイプラインを再開させました[3]。さらに最近の例では、多くの中小企業にサービスを提供しているマネージド・テクノロジー・サービス・プロバイダであるKaseyaが、安全機能を悪用して顧客のシステム(約1,500社)に悪意のあるソフトウェアを送りつけた事件があります[4]。これらの例は、サードパーティのライフサイクル全体にわたってサイバーセキュリティ・リスクを効果的に特定、修正、監視するための、調和のとれた総合的なサードパーティ・リスク管理アプローチの必要性を強調するものです。
To address these challenges, organizations must establish adequate mechanisms for risk assurance throughout the third-party life cycle in adherence with internal standards and regulatory requirements. In practice, to evaluate these requirements, companies use conventional and resource-intensive methods that are not capable of keeping up with the scale and speed of change, leading to increased operational overheads or blind spots.  これらの課題に対処するためには、組織は、社内基準と規制要件を遵守し、第三者のライフサイクルを通じてリスクを保証するための適切なメカニズムを確立する必要があります。実際には、これらの要件を評価するために、企業は従来のリソース集約的な方法を使用していますが、これでは変化の規模とスピードに追いつけず、運用上のオーバーヘッドや盲点の増加につながります。
The lack of an aligned cyber-risk management approach causes inefficiencies (thousands of questionnaires filled out by third parties and not analysed by senders due to lack of time and resources) and redundancies (the same third party will be assessed several times by various customers against more or less the same requirements) as companies assess cyber risks using different sets of requirements from a large number of partners.[5]  統一されたサイバーリスク管理アプローチがないため、企業は多数のパートナーからの異なる要件を用いてサイバーリスクを評価するため、非効率性(時間とリソースの不足のために第三者が記入した何千ものアンケートが送信者によって分析されない)や冗長性(同一の第三者が、多かれ少なかれ同じ要件に対して様々な顧客によって何度も評価される)が生じます[5]。
A harmonized and streamlined approach would help to ensure that essential cybersecurity standards are met. To this end, the Cyber Resilience in Oil and Gas community defined a holistic approach for managing third-party cyber risks with the aim of: 調和のとれた合理的なアプローチがあれば、必要不可欠なサイバーセキュリティ基準を確実に満たすことができます。この目的のために、「Cyber Resilience in Oil and Gas」コミュニティは、以下を目的とした第三者のサイバーリスクを管理するための包括的なアプローチを定義しました。
・Accelerating and streamlining third-party risk management practices by developing a unified industry approach to identify, mitigate, monitor and communicate third-party risk ・第三者のリスクを特定、軽減、監視、伝達するための業界統一のアプローチを開発することにより、第三者リスクの管理を加速、合理化する。
・Improving accuracy and consistency of third-party assessments by establishing a baseline set of requirements to assess the risk associated with third-party relationships ・第三者との関係に関連するリスクを評価するための基本的な要件を確立することにより、第三者の評価の精度と一貫性を向上させる。
・Increasing the industry’s cyber resilience by continuously adapting baseline cybersecurity standards and risk management methodologies to keep up with the pace of change in the digital and threat landscapes ・デジタルと脅威の状況の変化のペースに合わせて、ベースラインとなるサイバーセキュリティ基準とリスク管理手法を継続的に適応させることで、業界のサイバーレジリエンスを向上させる。
This report was developed and led by the World Economic Forum, Saudi Aramco, Schneider Electric and PwC in collaboration with the Cyber Resilience in Oil and Gas community through multiple workshops and working group sessions. 本レポートは、世界経済フォーラム、サウジアラムコ、シュナイダーエレクトリック、PwCが中心となり、複数のワークショップやワーキンググループセッションを通じて、「Cyber Resilience in Oil and Gas」コミュニティと協力して作成されました。
The paper is intended as a practical guide for cybersecurity leaders managing third-party cyber risks within oil and gas supply chains. It includes actionable guidance, methodologies and examples to improve the oversight of third-party risks by accelerating and streamlining a holistic approach, improving the accuracy and consistency of common requirements and best practices, and ultimately improving cyber resilience across the oil and gas business environment. This report bridges information from multiple existing frameworks on third-party risk management.[6],[7],[8]  本報告書は、石油・ガスのサプライチェーンにおける第三者のサイバーリスクを管理するサイバーセキュリティリーダーのための実践的なガイドを目的としています。本報告書には、全体的なアプローチを加速・合理化し、共通の要件とベストプラクティスの正確性と一貫性を向上させ、最終的に石油・ガスのビジネス環境全体のサイバーレジリエンスを向上させることで、第三者リスクの監視を改善するための実用的なガイダンス、方法論、事例が含まれています。本報告書は、第三者のリスク管理に関する既存の複数のフレームワークの情報を統合したものです。[6],[7],[8] 

Endnote

[1] Bryan, Jordan, “A Better Way to Manage Third-Party Risk”, Gartner, 15 August 2019: https://blogs.gartner.com/ smarterwithgartner/a-better-way-to-manage-third party-risk/ (link as of 15/7/21).

[2] Jibilian, Isabella and Katie Canales, “The US Is Readying Sanctions Against Russia over the SolarWinds Cyberattack. Here’s a Simple Explanation of How the Massive Hack Happened and Why It’s such a Big Deal”, Insider, 15 April 2021: https://www.businessinsider.com/solarwinds-hack-explained-government-agencies-cyber-security-2020-12?utm_ source=copy-link&utm_medium=referral&utm_content=topbar (link as of 15/7/21).

[3] Bussewitz, Cathy, “Colonial Pipeline Confirms It Paid $4.4 Billion to Hackers”, PBS, 19 May 2021: https://www.pbs.org/newshour/economy/colonial-pipeline-confirms-it-paid-4-4-million-to-hackers (link as of 15/7/21).

[4] Paul, Kari, “Who’s Behind the Kaseya Ransomware Attack – and Why Is It So Dangerous?”, The Guardian, 7 July 2021: https://www.theguardian.com/technology/2021/jul/06/kaseya-ransomware-attack-explained-russia-hackers  (link as of 15/7/21).

[5] PwC Third Party Risk Management Digital Trust Survey Snapshot – Building Digital Trust: Trust in Third Partieshttps://www.pwc.com/us/en/services/consulting/cybersecurity-privacy-forensics/library/digital-trust-leadershipoperations-partnership/trust-in-third-parties.html (link as of 15/7/21).

[6] National Institute of Standards and Technology, “Best Practices in Cyber Supply Chain Risk Management”: https://www.nist.gov/system/files/documents/itl/csd/NIST_USRP-Boeing-Exostar-Case-Study.pdf (link as of 15/7/21).

[7] ISACA, “The NIST Cybersecurity Framework – Third Parties Need Not Comply”, Isaca Journal, 2020: https://www.isaca.org/-/media/files/isacadp/project/isaca/articles/journal/2020/volume-1/the-nist-cybersecurity-framework-third-partiesneed-not-comply_joa_eng_0220.pdf (link as of 15/7/21).

[8] Cybersecurity and Infrastructure Security Agency, “NIST ICT Supply Chain Risk Management Toolkit”: https://www.cisa.gov/ict-supply-chain-toolkit (link as of 15/7/21).

|

« 米国 国家情報長官室 「COVID-19の起源に関する評価の要約」を公表していますね | Main | 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 国家情報長官室 「COVID-19の起源に関する評価の要約」を公表していますね | Main | 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか »