海外コメンタリー

ベンダー選定で考慮すべきセキュリティリスクと優れたポリシー構築の鍵 - (page 2)

Conner Forrest (ZDNET.com) 翻訳校正: 村上雅章 野崎裕子

2018-05-10 06:30

 Kennedy氏は次のような質問を推奨している。それは「ベンダーは、知的財産であれ、顧客の個人情報であれ、重要なデータを取り扱っている、あるいは管理しているだろうか?ベンダーの製品あるいはサービスは必要不可欠な業務機能に関与しているだろうか?あるいは、売上や支出に直接の影響を与えるものだろうか?ベンダーのサービスは単一障害点になるだろうか?」というものだ。

 Kennedy氏によると、企業はこれらの疑問に対する答えを出した後で、デューディリジェンスに着手できるようになるという。企業は、質問票を送付したり、ベンダーの主要な従業員にインタビューしたり、資料を請求したり、可能であればベンダー訪問の約束を取り付けるといったことをするべきだ。同氏は、以下のような質問をベンダーに対して投げかけるべきだとした。

  • マイナスの評判はほとんどないのか?
  • 契約上の義務を果たせるという裏付けとして信用照会先を提示できるか?
  • セキュリティ責任者を配置するとともに、明確なセキュリティポリシーを設定しているか?
  • 現実的な事業継続計画(BCP)や災害復旧計画(DRP)を定めているか?
  • 財務上の健全性はあるか?(すなわち、利益を生み出しているのか?あるいは、依然として投資家からのファンドに依存しているのか?他に大手顧客を抱えているのか?撤退戦略はどのようなものか?)また、米国の監査基準であるStatement on Standards for Attestation Engagements(SSAE 18)レポートやSOC 2レポートを必要に応じて提示できるか?
  • サードパーティーによる自社サービスの脆弱性評価を実施しているか?また、その結果を共有できるか?
  • 追加のテスト実施に同意するか?
  • 契約の締結後、ベンダーの統制に対する継続的な評価に関して、どのような条件を適用できるか?

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]