海外コメンタリー

ビジネスパートナーがセキュリティの弱点に?--リスク回避のための5つの対策 - (page 2)

Conner Forrest (TechRepublic) 翻訳校正: 石橋啓一郎

2017-07-13 06:30

2.部外者について知る

 守るべきものを理解したら、次はベンダーが社内の環境に及ぼしている影響について検討する必要がある。パートナーシップを組んでいる組織はゴールを共有しているが、そこに至るためのアプローチはまったく異なっている場合もある。

 このため、企業のリーダーはまず取引しているサードパーティーの数を把握する必要がある。これは一見簡単に思えるが、実際には水面下にさまざまな変数が潜んでいることが多い。正式に契約書が交わされた企業の数を調べることは当然必要だが、セキュリティ担当者は、シャドーITの問題を解決する戦略を定める必要がある。

 一部の従業員や管理職は、クラウドアプリを利用して速やかに成果を得ることに慣れてしまっており、新しいツールやサービスを利用する際に、IT部門の審査プロセスを回避しようとするかもしれない。

 「ある部門がプロジェクトを遂行する上で、IT部門の判断を待ちたくない場合、勝手にSaaSアプリケーションをダウンロードしたり、SaaSアプリケーションのアカウントを開設したりして、その費用をプロジェクトの予算から支払ってしまう場合がある」とBekker氏はいう。

 今や、望むと望まざるとに関わらず、企業には多くのサードパーティーが入り込んでしまっている。シャドーITに関する方針を策定し、開かれたコミュニケーションが可能な環境を整備すべきだ。結局のところ、パートナーを特定できなければ、そのパートナーの安全を確保することもできないのだから。

3.セキュリティに関する指標を定める

 ベンダーやパートナーがサイバーセキュリティの弱点になることを防ぐには、サードパーティーのパフォーマンスを評価する指標を決定する必要がある。IP ArchitectsのプレジデントJohn Pironti氏は、ある論文の中で、適切な指標は、パフォーマンスのプラス面でのしきい値とマイナス面でのしきい値の両方を評価できるのに加え、季節要因などのビジネス上の文脈を反映させることができると述べている。

 可能であれば、対象となるサードパーティーを評価プロセスに巻き込み、相手に指標を意識させることが望ましい。Pironti氏はこれによって、評価の際に使われる共通言語を設けることができ、相手方との間に、何が期待されているかについての共通認識を築けると述べている。また、指標には対処が可能なものと、単なる情報との2種類があり、その違いを明確にしておくことが重要だという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]