海外コメンタリー

ビジネスパートナーがセキュリティの弱点に?--リスク回避のための5つの対策

Conner Forrest (TechRepublic) 翻訳校正: 石橋啓一郎 2017年07月13日 06時30分

  • このエントリーをはてなブックマークに追加

 テクノロジやその実装の規模が大きくなり、複雑さが増すと、多くの組織は、目標を達成するためにサードパーティーベンダーやパートナーの手を借りようとする。451 ResearchのセキュリティアナリストGarrett Bekker氏は、現代の大規模な企業では、「外部への依存度が大きく高まっている」と述べている。

 ベンダーやパートナーは、企業が新たに登場したテクノロジを最大限に活用する上では助けになるが、組織内の環境に外部の存在を招き入れると、管理に問題が生じる場合がある。Bekker氏によれば、パートナーの数はほとんどの場合、数社では済まない。ニューヨークのある金融機関では、かつて2万社のベンダーと取引していたという。

 ベンダーが増えれば、管理が複雑になる上に、組織に新たな脆弱性をもたらす。パートナーやベンダーはそれぞれ独自の手順、独自の手法、独自の認証手段を使っており、攻撃者に組織のネットワークに対する新たな攻撃の糸口を与えてしまう可能性がある。有名なTargetのハッキング事件では、取引しているベンダーが侵入されたことが、データ漏えいにつながったという。

 とはいえ、ベンダーやパートナーとのある程度の協力なしでは、現代のビジネスは立ち行かない。幸い、IT部門や企業のリーダーが組織を守るために打てる対策がいくつかある。この記事では、ベンダーやパートナーと協力しながら、適切なサイバーセキュリティを確保するための、5つのベストプラクティスを紹介する。

1.守るべきものを知る

 これは簡単な話に聞こえるが、組織を守るための第1のステップは、所有しているデータとその保管場所を明確に把握し、それらのデータがどの程度の秘密性を必要とし、どうすればアクセスをコントロールできるかを知ることだ。実際、一部の企業では、自社のインフラの規模さえ把握できていないこともある。Bekker氏が過去に一緒に仕事をした企業の中には、保有しているデータベースの数を尋ねられて、200程度だと答えたが、実際には5000近くのデータベースが存在したというケースもあったという。

 あらゆる資産を完全に把握することは不可能に近いとしても、最低限、ミッションクリティカルで秘密性の高いデータについては説明できるようにしておかねばならない。データが置かれている場所を把握したら、可能であれば、サードパーティーのパートナーやベンダーがその場所にアクセスできないようにすべきだとBekker氏は言う。外部の事業者が特定のデータを必要とする場合は、組織内にベンダーの代理としてデータにアクセスする担当者を配置することを検討すべきだ。

 秘密性を要するリソースの取り扱いには、最大の注意を払う必要があり、サードパーティーがそれらのリソースにアクセスできないよう、多要素認証の仕組みを導入すべきだ。パートナーに与えるアクセスレベルと、そのアクセスレベルによってパートナーがアクセス可能になるデータをよく検討する必要がある。またBekker氏は、社内ネットワークでのサードパーティーの行動を監視するツールを導入し、異常な行動パターンがないか警戒すべきだと述べている。

 「疑わしいあらゆる行動に目を配るべきだ。『ある管理者が、土曜日の深夜3時に特定のファイルをダウンロードして、USBメモリに保存している』といった事態に気づけるようにしなければならない」とBekker氏は言う。

 その他の検討項目には、秘密性を要するデータが暗号化されているか、情報漏えい防止(DLP)対策や、対策を実現するための適切なツールを導入しているかなどが考えられる。それによって、情報漏えいによるダメージをある程度軽減できる可能性がある。

Building a network of trust: Don
提供:iStockphoto/shironosov

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算