ベンダーを決定する際には、そのセキュリティ監査を適切に実施することでメリットを生み出せるようになる。
提供:iStockphoto/UberImages
企業が今日置かれている環境ではその運営上、ある程度サードパーティーのベンダーに依存する必要がある。こうした依存は避けられるものではない。しかし、関係するベンダーの数が増えるたびに、リスクもいくらかずつ増加していく。
この数年を振り返ってみても、TargetやVerizonといった大手企業で発生し、世の中の注目を集めたデータ流出事件にはベンダーが深く関わっていた。しかし、データ流出は社外のパートナー企業とともに作業を進める際には付きものだとあきらめる必要はない。サードパーティーのプロバイダーの手を借りる際でもリスクを低減するための対処はいくつもある。すべては、ベンダーに対するセキュリティ監査のための適切なポリシーを定めるところから始まるのだ。
小さなところから手を付けるのが鍵だ。GartnerのリサーチディレクターであるMark Horvath氏によると、企業のリーダーらは自社の最高情報セキュリティ責任者(CISO)や最高情報責任者(CIO)と協力し、ベンダーに要求する最低限のセキュリティ基準を定めたうえで、それを最低基準として用いるべきだという。これは、提案依頼書(RFP)や情報提供依頼書(RFI)の記述よりも先に行われるべきだとHorvath氏は述べた。
「どの企業も、適切な業界の規約や、自社特有のニーズによって特徴付けられた一連の要件を有している。これらの要件は、ベンダーへのいかなる問い合わせにも先立って記述されているべきだ。そうすることで初めて、ベンダーとともに要件の話ができるようになる。その目的は、製品を購入した後で、業務を妨げるようなプライバシー関連あるいはセキュリティ関連のポリシー違反が発生することが分かるという問題を回避するためだ」(Horvath氏)
企業はこのような最低限の要件を決定した後、各ベンダーを個別に検討していく必要がある。451 ResearchのリサーチディレクターであるDaniel Kennedy氏によると、ベンダーそれぞれのタイプに適用できる標準的なアプローチは存在しないという。
さまざまなベンダーのニーズを切り分けるためにはまず、各ベンダーの製品やサービスに関するリスク指数の作成から手をつけるのがよいだろう。これによって、各評価に費やすべき時間の決定が容易になるはずだ。