海外コメンタリー

ビジネスパートナーがセキュリティの弱点に?--リスク回避のための5つの対策 - (page 2)

Conner Forrest (TechRepublic) 翻訳校正: 石橋啓一郎

2017-07-13 06:30

2.部外者について知る

 守るべきものを理解したら、次はベンダーが社内の環境に及ぼしている影響について検討する必要がある。パートナーシップを組んでいる組織はゴールを共有しているが、そこに至るためのアプローチはまったく異なっている場合もある。

 このため、企業のリーダーはまず取引しているサードパーティーの数を把握する必要がある。これは一見簡単に思えるが、実際には水面下にさまざまな変数が潜んでいることが多い。正式に契約書が交わされた企業の数を調べることは当然必要だが、セキュリティ担当者は、シャドーITの問題を解決する戦略を定める必要がある。

 一部の従業員や管理職は、クラウドアプリを利用して速やかに成果を得ることに慣れてしまっており、新しいツールやサービスを利用する際に、IT部門の審査プロセスを回避しようとするかもしれない。

 「ある部門がプロジェクトを遂行する上で、IT部門の判断を待ちたくない場合、勝手にSaaSアプリケーションをダウンロードしたり、SaaSアプリケーションのアカウントを開設したりして、その費用をプロジェクトの予算から支払ってしまう場合がある」とBekker氏はいう。

 今や、望むと望まざるとに関わらず、企業には多くのサードパーティーが入り込んでしまっている。シャドーITに関する方針を策定し、開かれたコミュニケーションが可能な環境を整備すべきだ。結局のところ、パートナーを特定できなければ、そのパートナーの安全を確保することもできないのだから。

3.セキュリティに関する指標を定める

 ベンダーやパートナーがサイバーセキュリティの弱点になることを防ぐには、サードパーティーのパフォーマンスを評価する指標を決定する必要がある。IP ArchitectsのプレジデントJohn Pironti氏は、ある論文の中で、適切な指標は、パフォーマンスのプラス面でのしきい値とマイナス面でのしきい値の両方を評価できるのに加え、季節要因などのビジネス上の文脈を反映させることができると述べている。

 可能であれば、対象となるサードパーティーを評価プロセスに巻き込み、相手に指標を意識させることが望ましい。Pironti氏はこれによって、評価の際に使われる共通言語を設けることができ、相手方との間に、何が期待されているかについての共通認識を築けると述べている。また、指標には対処が可能なものと、単なる情報との2種類があり、その違いを明確にしておくことが重要だという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]