2.部外者について知る
守るべきものを理解したら、次はベンダーが社内の環境に及ぼしている影響について検討する必要がある。パートナーシップを組んでいる組織はゴールを共有しているが、そこに至るためのアプローチはまったく異なっている場合もある。
このため、企業のリーダーはまず取引しているサードパーティーの数を把握する必要がある。これは一見簡単に思えるが、実際には水面下にさまざまな変数が潜んでいることが多い。正式に契約書が交わされた企業の数を調べることは当然必要だが、セキュリティ担当者は、シャドーITの問題を解決する戦略を定める必要がある。
一部の従業員や管理職は、クラウドアプリを利用して速やかに成果を得ることに慣れてしまっており、新しいツールやサービスを利用する際に、IT部門の審査プロセスを回避しようとするかもしれない。
「ある部門がプロジェクトを遂行する上で、IT部門の判断を待ちたくない場合、勝手にSaaSアプリケーションをダウンロードしたり、SaaSアプリケーションのアカウントを開設したりして、その費用をプロジェクトの予算から支払ってしまう場合がある」とBekker氏はいう。
今や、望むと望まざるとに関わらず、企業には多くのサードパーティーが入り込んでしまっている。シャドーITに関する方針を策定し、開かれたコミュニケーションが可能な環境を整備すべきだ。結局のところ、パートナーを特定できなければ、そのパートナーの安全を確保することもできないのだから。
3.セキュリティに関する指標を定める
ベンダーやパートナーがサイバーセキュリティの弱点になることを防ぐには、サードパーティーのパフォーマンスを評価する指標を決定する必要がある。IP ArchitectsのプレジデントJohn Pironti氏は、ある論文の中で、適切な指標は、パフォーマンスのプラス面でのしきい値とマイナス面でのしきい値の両方を評価できるのに加え、季節要因などのビジネス上の文脈を反映させることができると述べている。
可能であれば、対象となるサードパーティーを評価プロセスに巻き込み、相手に指標を意識させることが望ましい。Pironti氏はこれによって、評価の際に使われる共通言語を設けることができ、相手方との間に、何が期待されているかについての共通認識を築けると述べている。また、指標には対処が可能なものと、単なる情報との2種類があり、その違いを明確にしておくことが重要だという。