TOPNetwork > ベンダーのセキュリティ評価、契約の前に打つべき手は(前)

Network

ベンダーのセキュリティ評価、契約の前に打つべき手は(前)

2018/04/03

Terena Bell CSO

 契約済みの外部ベンダーがもたらすセキュリティリスクを抑えるにはどうすればよいだろうか。米Fannie Mae(連邦住宅抵当公庫)のJerry Archer最高セキュリティ責任者(CSO)は、それを考えている時点で「既に失敗だ」と話す。リスク緩和は契約を結ぶ前の段階から始めなくてはならないというのがArcher氏の見解だ。

 そこでFannie Maeでは、利用するすべてのベンダーに関して、セキュリティチームが契約の賛否を意思表示している。対象となるのは、認証技術やAPIゲートウェイのサービスといった、一般にIT部門が管轄する製品やサービスのベンダーだけではない。どの部署がどのツールを導入する場合でも、セキュリティチームの承認が出なければ一切認められない。

 利用するベンダーは計200社以上に及ぶだけに、承認の作業は簡単ではない。Archer氏によると、同社の人事部門を含む各種部門には、ベンダー各社からアプローチがあり、最先端の華麗なツールが披露される。それらを見せられて、「当人たちは、この製品がぜひとも必要だという気になる」。ソフトウエアを利用する側の部門は、セキュリティのことは念頭にない。考えているのは機能だけだ。これがないと成功はおぼつかないとIT部門に話してくる。「我々は全員、それは必ずしも本当ではないと心の中では分かっている。だが、本人たちは心情的にも、社内力学的にも、その製品から離れられなくなっている。それが現実だ」とArcher氏は言う。

 こうなると、制御できないセキュリティリスクが必然的に生じる。最初の1日目から意思決定に関与しておかないと、購入への勢いが勝り、セキュリティチームにはダメージコントロールが託されることになる。「セキュリティチームとして、そのベンダーに関する問題の解決やプロセスの中断を直ちに行えるよう、先手を打つ方法を見つける必要がある。心情が作用してきて既成事実化しないうちに対処することが必要だ」

↑ページ先頭へ