Googleは米国時間3月7日、ベンダーのセキュリティに向けた姿勢を評価するためのフレームワーク「Vendor Security Assessment Questionnaire(VSAQ)Framework」をオープンソース化したと発表した。このフレームワークは、セキュリティに関する一連の質問を投げかけることで、ベンダーの活動やリスクを評価するもの。Googleは毎年、このフレームワークを使用して、数多くのベンダーのセキュリティを評価している。
VSAQの質問事項の一部
※クリックすると拡大画像が見られます
VSAQは、ベンダーが自社やサプライヤーを評価し、セキュリティ対策を強化する方法を見つけ出す場合にも使用できるようになった。
Google SecurityチームのLukas Weichselbaum氏とDaniel Fabian氏はブログで、VSAQは情報収集目的で利用できるだけでなく、「ベンダーのセキュリティとプライバシーに向けた姿勢におけるさまざまな側面を評価する」ための判断目的にも活用できると述べている。
同ソフトウェアを試用した多くのベンダーはその後、この質問一式で収集した情報、そしてそこから導き出された問題点や改善できる部分に基づいて、自社のセキュリティにおける弱点の解消に取り組んでいる。また、複数のベンダーは、企業としての活動を向上させるだけでなく、自社のサプライヤーを評価するためにもVSAQを使用することに興味を示している。
VSAQによってサードパーティーのサプライヤーを詳細に評価できるようになるという点は重要だ。どれだけ企業のセキュリティ対策と防御策に投資したとしても、その強度は最も弱い部分以上にはならない。そして、ネットワークに接続する他の企業がサイバーセキュリティのためのリソースを有していない、あるいは同じレベルで投資していないのであれば、サイバー犯罪者に対してネットワーク侵入への道をみすみす与えてしまうことになる。
VSAQのようなソフトウェアや調査が一般的に用いられるようになれば、企業は自社ネットワークだけでなく、サードパーティーの抱える深刻な脆弱性を見つけるために活用でき、データ漏えいやサイバー攻撃の被害に遭う前に問題に対処できるようになる。
Googleは現在、Apache License Version 2.0の下、GitHub上でVSAQ Frameworkを公開している。VSAQはクライアントサイドでの評価ツールであり、十分なスループットを有している。より高い処理能力を必要とするセキュリティプログラムに対しては、サーバサイドのコンポーネントを用いたVSAQフレームワークの使用を検討することもできる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
