コンプライアンスという点でHorvath氏は、ベンダーには保護データのためのポリシーと、企業の属する業界における適切な基準に従ったコンプライアンス証明の提供が求められるべきだと述べた。また、ベンダーにおけるデータの保持や帰属、プライバシー、削除といったプロセスや、企業データがクラウドに配備されるかどうかを理解することも重要となる。
Forrester Researchの首席アナリストであるDuncan Jones氏は、ベンダーのセキュリティ監査を全体として考えるうえで、こういった監査に、サービスの信頼性や財務の安定性といったその他の評価を統合するよう勧めた。
Jones氏は「さまざまな観点からの一貫性を欠いた評価があまりにも多い。これによりサプライヤーに過大な負荷がかかるとともに、ギャップが生み出される結果、組織にリスクを呼び込んでしまう」と述べるとともに、「必要なのは、セキュリティを含むすべての評価を管理、記録できる単一のプラットフォームだ」と述べた。
Jones氏は、ベンダーのコンテキストに監査を適応させ、どの製品やサービスに焦点を当てるかも重要だと述べた。ただ、同氏は新興企業や小規模企業を切り捨ててはいけないとも付け加えた。また同氏は、むしろ「リスクの回避にばかり気を取られることでイノベーションが停滞するため、プロセスを洗練させ、監査を全面的に実行せずとも新興のサプライヤーととともにイノベーションに向けた仕事やパイロットプロジェクトを進めていけるようにするべきだ」と述べ、「関係を強化できるようになるまで評価を保留するようにしてほしい」と続けた。
最後に、データについて考えてほしい。Jones氏は、企業が「自らのことだけを考えるような自己中心的な態度を採るのではなく」、特定のベンダーに関するリスク情報を収集するプロバイダーを目指し、「複数のクライアントに向けて情報を流していく、つまりある種のコミュニティーベースのアプローチを採用する」べきだと述べ、「これによりサプライヤーと自社の作業量が低減され、収集された情報の信頼性も向上する」と続けた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
