Google、Salesforceらが、ベンダー中立的なセキュリティベースライン「Minimum Viable Security Product(MVSP)」について発表している。「セキュリティ水準を高めつつ、審査プロセスを簡素化する」ために策定されたという。
MVSPは、OktaやSlackなどの企業も策定に関与し、支援している。Googleのセキュリティ担当バイスプレジデントRoyal Hansen氏は、「調達、提案依頼書(RFP)、ベンダーのセキュリティ評価プロセスに伴うコスト、複雑性、混乱を排除するために、許容できる最低限のセキュリティベースラインを確立することが狙い」だと説明した。
「MVSPがあれば、業界は各段階の透明度を高め、双方の関係者が目標を達成し、オンボーディングと販売のサイクルを数週間、場合によっては数カ月間短縮できるようになる」とHansen氏は述べている。
「MVSPは、B2Bソフトウェアやビジネスプロセスのアウトソーシングサプライヤー向けに、必要最小限のセキュリティ要件を策定することに焦点を当てた、協業的なベースラインだ。シンプルであることを念頭に置いて設計されており、適切なセキュリティ態勢を確保するために、最低限実装されるべきコントロールだけが含まれている。MVSPは、最低限のベースラインチェックリストという形で提示し、ソリューションのセキュリティ態勢を検証するために使用できる」(同氏)
企業はこれまで、ベンダー向けに独自のセキュリティベースラインを策定しなければならなかった。そのためプロセスが複雑化し、取りまとめるが困難で、準拠を求められるベンダーにとっても、非常に分かりにくいものとなっていた。
Hansen氏は、MVSPによって、関係者が支持する業界全体の基準が策定されるため、最低要件を明確に伝えることができると説明した。
さらに、組織は自社のプロセスで足りない部分を理解し、ベンダーに対する要件を厳格化すべき分野を特定できるようになる。
「MVSPは、業界が支持し、一般に公開されたセキュリティ関連の質問を1セット用意する。業界が、単一のベースラインのセットで足並みをそろえることで、ベンダーはより明確に理解して、迅速かつ正確に対応できるようになる」(Hansen氏)
「MVSPによって、最低限のセキュリティ管理として求められることを、前もって理解できるので、契約交渉の段階でセキュリティ管理に関する話し合いを、減らすことができる。また、外部のベースラインを参照することで契約書の文言を簡素化し、要件に対する理解を深められる」(同氏)
Hansen氏は、セキュリティのコミュニティやMVSPのベースラインに貢献したいと考える組織によるフィードバックを歓迎するとしている。
業務をサードパーティーに外注することは、諸刃の剣であり、コストを削減できる一方、重要なシステムや顧客データへの外部アクセスを許可することになり、新たな攻撃ベクターが生まれるとSalesforceは述べている。最近の調査によると、ベンダーの1社が原因のデータ侵害を経験した企業は59%にのぼったと、Googleはブログの中で指摘した。
MSVPのチェックリストには、ベンダーが毎年、システムに対する包括的な侵入テストを実施しているかや、欧州連合(EU)の一般データ保護規則(GDPR)など、現地の法律や規制に準拠しているかを尋ねる質問が含まれている。
また、ベンダーが最新の業界標準プロトコルに基づいたシングルサインオンを導入しているか、頻繁にセキュリティパッチを提供しているかといった内容も含まれている。
ベンダーは、アプリケーションが処理することが予想される機密データの種類について、リストを維持しているか、機密データがどのようにシステムに到達し、どこに保存されるのかを示すデータフロー図が最新になっているかといった質問もある。
さらにチェックリストには、施設の物理的セキュリティと、ベンダーによる階層化された境界線の管理や入退室のログ管理に関する質問も入っている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
