グーグル、ベンダーのセキュリティを評価するVSAQをオープンソース化

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2016-03-09 13:31

 Googleは米国時間3月7日、ベンダーのセキュリティに向けた姿勢を評価するためのフレームワーク「Vendor Security Assessment Questionnaire(VSAQ)Framework」をオープンソース化したと発表した。このフレームワークは、セキュリティに関する一連の質問を投げかけることで、ベンダーの活動やリスクを評価するもの。Googleは毎年、このフレームワークを使用して、数多くのベンダーのセキュリティを評価している。

VSAQの質問事項の一部 VSAQの質問事項の一部
※クリックすると拡大画像が見られます

 VSAQは、ベンダーが自社やサプライヤーを評価し、セキュリティ対策を強化する方法を見つけ出す場合にも使用できるようになった。

 Google SecurityチームのLukas Weichselbaum氏とDaniel Fabian氏はブログで、VSAQは情報収集目的で利用できるだけでなく、「ベンダーのセキュリティとプライバシーに向けた姿勢におけるさまざまな側面を評価する」ための判断目的にも活用できると述べている。

 同ソフトウェアを試用した多くのベンダーはその後、この質問一式で収集した情報、そしてそこから導き出された問題点や改善できる部分に基づいて、自社のセキュリティにおける弱点の解消に取り組んでいる。また、複数のベンダーは、企業としての活動を向上させるだけでなく、自社のサプライヤーを評価するためにもVSAQを使用することに興味を示している。

 VSAQによってサードパーティーのサプライヤーを詳細に評価できるようになるという点は重要だ。どれだけ企業のセキュリティ対策と防御策に投資したとしても、その強度は最も弱い部分以上にはならない。そして、ネットワークに接続する他の企業がサイバーセキュリティのためのリソースを有していない、あるいは同じレベルで投資していないのであれば、サイバー犯罪者に対してネットワーク侵入への道をみすみす与えてしまうことになる。

 VSAQのようなソフトウェアや調査が一般的に用いられるようになれば、企業は自社ネットワークだけでなく、サードパーティーの抱える深刻な脆弱性を見つけるために活用でき、データ漏えいやサイバー攻撃の被害に遭う前に問題に対処できるようになる。

 Googleは現在、Apache License Version 2.0の下、GitHub上でVSAQ Frameworkを公開している。VSAQはクライアントサイドでの評価ツールであり、十分なスループットを有している。より高い処理能力を必要とするセキュリティプログラムに対しては、サーバサイドのコンポーネントを用いたVSAQフレームワークの使用を検討することもできる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  2. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  4. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]