策定しようとする指標について、法的な観点から検討しておくことも忘れてはならない。「場合によっては、特定の指標の存在が組織の法的責任につながる可能性もある。そのような指標は、作成したり、文書に残したりすべきではない」とPironti氏は述べている。
最後に、指標に関するデータの収集と処理の一貫性を保つように心がけることだ。これによって、指標を時系列で評価することが可能になり、ベンダーとの契約期間を通じて、データを比較したり、対照したりすることが可能になる。
4.契約書にリスクを明記する
ベンダーやパートナーとの契約に直接リスクを明記するというのは、単純に指標を定めるだけでなく、各パートナーの義務を明示し、それに反した行為があった場合の対応を明記するということだ。Bekker氏は、契約書を使って、パートナーが組織のネットワーク内で作業をしている際に取るべき手順を定めることができると述べている。
例えば、ベンダーのすべての従業員に対して多要素認証の使用を求めることもできるし、特定の暗号を使用したデータの暗号化を義務づけることもできる。Pironti氏は別のレポートで、契約に5つの条項を含めることを推奨している。
- パートナーを監査する権利
- ベンダー側の負担によるソフトウェアメンテナンスと説明責任
- コンプライアンスと法令準拠に関する要件の検証
- 使用しているオープンソースソフトウェアコンポーネントの開示
- 下請け事業者のセキュリティ確保
Pironti氏は、セキュリティに関して適切な条項を設けることは、「サードパーティーがセキュリティの適切なコントロールと能力維持を効果的に実施し、その状態を維持することに対して、売上とビジネスの両面でインセンティブを与えることにつながる」と述べている。
5.パートナーの監査を実施する
条項を設けたら、取引しているパートナーを定期的に監査することが重要だ。Bekker氏は、監査を代行してくれる企業や、監査プロセスの開発を支援してくれる企業が存在すると述べている。
このプロセスでは、多くの場合、企業がベンダーやパートナーに起因するセキュリティリスクと財務的リスクを評価するために質問票が使われる。「イエス」や「ノー」、または5段階で簡単に回答できる単純な質問を重ねることで、ベンダーが顧客の要求するセキュリティニーズを満たしているかを十分に評価できる。
また指標に関するデータの収集に関しては、一貫性が重要となる。パートナーの監査プロセスでは、最近のスコアを過去のスコアと比較し、ベンダーの行動の一貫性についても評価すべきだ。
ただし、ベンダーやパートナーからも質問を受けたり、質問票に回答する上での条件が提示される場合があることも念頭に置いておく必要がある。Pironti氏は、2010年のISACAの記事で、ベンダーが質問に回答する際には、顧客企業がそのデータをどのように利用するか、そのデータの安全性はどのように確保されるか、などの問題が議論になると指摘している。顧客企業は、これらの問題に関して明確なポリシーを用意し、ベンダーのニーズを尊重しなければならない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。