Jagは、企業向けの主要なサードパーティ管理プラットフォームの1つであるCertaの創業者兼CEOである。
2024年7月、1つのベンダーが不具合のあるソフトウェアアップデートを配信した。数時間以内に、デルタ航空は乗務員追跡システムの制御を失った。その後5日間で5000便以上がキャンセルされ、同社は5億ドルの損害を報告した。サイバー攻撃や競合他社によるものではない。ベンダーによるものだ。
これは警鐘であったが、同時に予兆でもあった。
サードパーティリスク管理(TPRM)は、数十年にわたってバックオフィス業務として扱われてきた。コンプライアンスチームが質問票を送付する。ベンダーがそれに記入する。誰かが結果をファイリングする。そして次の監査まで全員が先に進む。
その時代は終わった。3つの要因がTPRMを取締役会レベルの議題へと押し上げており、それらは同時に収束しつつある。
1. 規制と個人責任
規制はかつて書類作業を意味していたが、今では個人責任を意味する。
DORAとNIS2の両方において、経営陣はサイバーセキュリティ監督における過失について個人的に責任を問われる可能性がある。この1つの変更だけで、すべての経営幹部がサードパーティリスクについてどう考えるかを再構築すべきである。
エクスポージャーは複合的に増大している。3つの主要なEU規制が現在施行中または施行が近づいている。DORAは金融機関とそのテクノロジープロバイダーの業務レジリエンスを規定する。NIS2はサイバーセキュリティ義務を18セクターに拡大する。EU AI法は2026年8月に完全施行され、罰則は世界年間売上高の最大7%に達する。
1つのサプライチェーン障害が、3つの規制すべてにわたる報告義務を同時に引き起こす可能性がある。異なるタイムライン。異なる重要性の閾値。異なる規制当局。米国では、更新されたNYDFS要件が、より強力なベンダー監督とより迅速なインシデント報告を要求している。ドイツのサプライチェーンデューデリジェンス法は、企業が労働基準と環境基準の両方についてサプライヤーを審査することを義務付けており、違反すれば法的罰則を受ける。
規制対象領域は爆発的に拡大した。ほとんどの組織は遅れをとっている。コンプライアンス専門家を対象とした最近の調査では、DORA、NIS2、EU AI法のすべてに完全に準拠している企業は0%だった。
2. 地政学的リスクと成長
世界経済フォーラムの調査によると、回答者の83%が地政学的リスクを成長に対する主要な脅威として特定しており、インフレーションを上回っている。
サプライチェーンの混乱により、企業は推定で年間1840億ドルのコストを負担している。マッキンゼーの調査によると、1回の大規模な混乱により、企業の年間EBITDAの最大42%が失われる可能性がある。
2025年5月、中国は重要鉱物に対する新たな輸出規制を発表した。数週間以内に、フォードは工場を閉鎖した。高出力磁石を調達できなかったためだ。生産は3週間停止した。
あなたのベンダーはエクスポージャーを抱えている。そのベンダーのベンダーもエクスポージャーを抱えている。そしてそのいずれも、あなたの年次レビューサイクルを待ってはくれない。かつての問いは「我々の地政学的エクスポージャーは何か」だった。正しい問いは「どれだけ速くそれを把握し、対応できるか」である。
3. ベンダーとそのAIエージェント
かつてベンダーはあなたのデータにアクセスしていた。今では彼らのAIエージェントが、あなたの認証情報を使って、あなたのシステム内で、機械速度で意思決定を行っている。
これは異なるカテゴリのリスクである。
長年にわたり、サードパーティリスクは共有データに関するものだった。あなたはベンダーにアクセス権を与えた。あなたはそのアクセスを管理した。関係は静的だった。境界は明確だった。
そのモデルは崩壊しつつある。
ガートナーは、企業向けアプリケーションの40%が2026年までにAIエージェントを組み込むと予測しており、2025年の5%未満から増加する。これらのエージェントはデータを分析するだけではない。行動する。本番ログを読み、チケットを開き、ファイアウォールルールを変更し、クラウドリソースを起動し、購買決定を行うことができる。
これにより「サードパーティリスク」が実際に意味するものが変わる。もはやベンダーがあなたのデータを保護するかどうかを評価しているのではない。あなたの認証情報で動作する彼らの自律システムが、あなたの利益に沿った意思決定を行うかどうかを評価しているのだ。リスクはアクセスから主体性へとシフトした。
サイバーセキュリティ専門家のほぼ半数が、現在エージェント型AIを最大の攻撃ベクトルと考えている。シャドーAI侵害は1件あたり平均463万ドルのコストがかかる。そして、人間のユーザー向けに構築されたアイデンティティフレームワークは、ツールを連鎖させ、権限を昇格させ、パイプライン全体にアクションを伝播させるエージェント向けには設計されていなかった。
旧モデルはエンティティの信頼性を評価していた。このベンダーは安全か。新モデルは意思決定の信頼性を評価しなければならない。このベンダーに代わって行動する自律システムは、ガバナンスが効き、監査可能で、あなたのリスク許容度と整合しているか。
結論
TPRMをコンプライアンスのチェックボックスとして扱っている企業は、取締役会が価格設定していないリスクを抱えている。それを戦略的能力として扱っている企業は、次の大規模な混乱イベントが発生したときにも存続している可能性が高い。
(このシリーズの次の記事では、AI優先のTPRMの中核要素を共有する予定である。)
