ベンダーリスク管理(VRM)とは?自分ごと体験で覚えるITパスポート対策
🎬 こんなシーン、想像してみて
調達部担当の自分。「クラウド・外部委託先のセキュリティ・コンプラ要件を契約前にリスク評価」する仕組み。脆弱性管理?
❓ 2問問題:あなたならどっち?
次の状況に当てはまるのは?
- ✅ ベンダーリスク管理(VRM:Vendor Risk Management)
- ❌ 脆弱性管理→ 脆弱性管理は自組織内。「外部委託先のリスク評価・管理」がVRM
✅ 正解:ベンダーリスク管理(VRM:Vendor Risk Management)
📘 ベンダーリスク管理(VRM)とは何か
委託先・クラウドのセキュリティ・信頼性を事前評価ベンダーリスク管理(VRM):サードパーティ(クラウドベンダー・IT外部委託先・サプライチェーン)のリスクを評価・監視・管理するフレームワーク。評価項目:情報セキュリティ体制・事業継続計画・財務安定性・コンプライアンス。
🎯 試験のキモ
評価手法:セキュリティアンケート(SIG)・SOC2レポート・ISO27001認証確認・現地監査。サプライチェーン攻撃の増加により、委託先のセキュリティ評価が重要になった。NIST CSFがベンダーリスク管理の参照フレームワークとして活用される。 **覚え方** 🎯 VRM=**Vendor Risk Management=委託先リスクの見張り**。**SOC2・ISO27001で評価**。サプライチェーン攻撃対策。
⚠️ 間違いやすいポイント
ひっかけ注意:VRM(ベンダーリスク管理)は自社内の脆弱性管理ではなく、委託先・クラウドベンダーなどサードパーティのリスク評価。SOC2レポートやISO27001認証は委託先評価ツール。「契約前に外部委託先のセキュリティを評価」=VRM。脆弱性管理と混同しないこと。
🧠 覚え方
VRM=**Vendor Risk Management=委託先リスクの見張り**。**SOC2・ISO27001で評価**。サプライチェーン攻撃対策。
📚 ITパスポートの試験対策・勉強方法
ベンダーリスク管理(VRM)はITパスポートのIT全般分野で頻出(mid)。ITパスポート 過去問・勉強方法・独学・何時間に取り組むなら、自分ごとシナリオで一度体験してから問題を解くのが定着の鍵。何度も繰り返して覚え方フレーズを口に出すと記憶に残りやすい。
知識をクイズで確認しよう!
🏆 用語4択チャレンジ →