テクノロジやその実装の規模が大きくなり、複雑さが増すと、多くの組織は、目標を達成するためにサードパーティーベンダーやパートナーの手を借りようとする。451 ResearchのセキュリティアナリストGarrett Bekker氏は、現代の大規模な企業では、「外部への依存度が大きく高まっている」と述べている。
ベンダーやパートナーは、企業が新たに登場したテクノロジを最大限に活用する上では助けになるが、組織内の環境に外部の存在を招き入れると、管理に問題が生じる場合がある。Bekker氏によれば、パートナーの数はほとんどの場合、数社では済まない。ニューヨークのある金融機関では、かつて2万社のベンダーと取引していたという。
ベンダーが増えれば、管理が複雑になる上に、組織に新たな脆弱性をもたらす。パートナーやベンダーはそれぞれ独自の手順、独自の手法、独自の認証手段を使っており、攻撃者に組織のネットワークに対する新たな攻撃の糸口を与えてしまう可能性がある。有名なTargetのハッキング事件では、取引しているベンダーが侵入されたことが、データ漏えいにつながったという。
とはいえ、ベンダーやパートナーとのある程度の協力なしでは、現代のビジネスは立ち行かない。幸い、IT部門や企業のリーダーが組織を守るために打てる対策がいくつかある。この記事では、ベンダーやパートナーと協力しながら、適切なサイバーセキュリティを確保するための、5つのベストプラクティスを紹介する。
1.守るべきものを知る
これは簡単な話に聞こえるが、組織を守るための第1のステップは、所有しているデータとその保管場所を明確に把握し、それらのデータがどの程度の秘密性を必要とし、どうすればアクセスをコントロールできるかを知ることだ。実際、一部の企業では、自社のインフラの規模さえ把握できていないこともある。Bekker氏が過去に一緒に仕事をした企業の中には、保有しているデータベースの数を尋ねられて、200程度だと答えたが、実際には5000近くのデータベースが存在したというケースもあったという。
あらゆる資産を完全に把握することは不可能に近いとしても、最低限、ミッションクリティカルで秘密性の高いデータについては説明できるようにしておかねばならない。データが置かれている場所を把握したら、可能であれば、サードパーティーのパートナーやベンダーがその場所にアクセスできないようにすべきだとBekker氏は言う。外部の事業者が特定のデータを必要とする場合は、組織内にベンダーの代理としてデータにアクセスする担当者を配置することを検討すべきだ。
秘密性を要するリソースの取り扱いには、最大の注意を払う必要があり、サードパーティーがそれらのリソースにアクセスできないよう、多要素認証の仕組みを導入すべきだ。パートナーに与えるアクセスレベルと、そのアクセスレベルによってパートナーがアクセス可能になるデータをよく検討する必要がある。またBekker氏は、社内ネットワークでのサードパーティーの行動を監視するツールを導入し、異常な行動パターンがないか警戒すべきだと述べている。
「疑わしいあらゆる行動に目を配るべきだ。『ある管理者が、土曜日の深夜3時に特定のファイルをダウンロードして、USBメモリに保存している』といった事態に気づけるようにしなければならない」とBekker氏は言う。
その他の検討項目には、秘密性を要するデータが暗号化されているか、情報漏えい防止(DLP)対策や、対策を実現するための適切なツールを導入しているかなどが考えられる。それによって、情報漏えいによるダメージをある程度軽減できる可能性がある。
提供:iStockphoto/shironosov
