サードパーティベンダーとサイバーセキュリティについて尋ねる5つの質問

マーケティングコンサルタントやサプライチェーンパートナーから会計士やITサービスプロバイダーに至るまで、今日の組織は、考えられるほぼすべてのビジネス機能をあらゆる種類のサードパーティに依存しています。

最近のPonemonInstituteの調査によると、サードパーティの依存関係の意図しない結果は、米国の組織の61％がサードパーティまたはベンダーによって引き起こされたデータ侵害を経験したことです。企業の57％は、ベンダーのセキュリティポリシーと防御が侵害を適切に防止できるかどうかを判断できず、機密情報または機密情報の共有を必要とするビジネス契約を開始する前に、ベンダーのセキュリティとプライバシーの慣行を評価しているのは半数未満です。 。

したがって、同じ調査によれば、回答者の16％だけが、サードパーティのリスクを軽減する上で自社を「非常に効果的」と評価したことは驚くべきことではありません。実際、アウトソーシングリスクの管理を優先するのは少数派です。

サードパーティのリスクを軽減し始めるのに最適な時期は、契約を結ぶ前の関係の最初の段階です。そのとき、重要な質問をして、受けている可能性のある露出を特定し、妥協を回避する最善の方法を特定する必要があります。強力なセキュリティ慣行を持つベンダーは通常、それらについて喜んで話しますが、そのような議論を避けているベンダーは、彼らが隠している何かを持っている可能性があります。そのことを念頭に置いて、サードパーティを検討する際に尋ねる必要のある5つの質問（社内で1つ、深刻な候補者については4つ）を次に示します。

サードパーティが所有またはアクセスするデータとシステムは何ですか？ 多くのサードパーティは機密データやシステムにアクセスできないため、侵害が発生した場合でも、脅威は最小限に抑えられます。たとえば、造園業者はデータやシステムにほとんどアクセスできず、施設の内部にもアクセスできない可能性があります。おそらく、アクセスする可能性のある唯一のコンピューター化されたネットワークは灌漑システムであり、これはおそらく内部の企業システムから隔離されているでしょう。したがって、この架空のランドスケープベンダーの潜在的な違反は、ほとんどまたはまったく影響を及ぼさないと予想されます。

対照的に、HRプロバイダー、財務システム、またはベンダーは大きく異なります。たとえば、マーケティングまたはビジネス戦略をサポートする顧客分析を開発するためにコンサルタントを雇った場合、そのエンティティは、顧客のクレジットカード番号と自宅の住所、または企業の財務にまたがる企業データにアクセスできる可能性があります。このタイプのコンサルタントは慎重に精査する必要があります。

サードパーティはどのような種類のログ記録と監視を行いますか？ ロギングとモニタリングは、組織がその環境内のアクティビティを記録して応答する主な方法です。ただし、システムとネットワークのアクティビティログは冗長です。また、複数の多様なシステムと高帯域幅ネットワークで構成される今日の最新のコンピューティング環境では、ログイベントの量は、人間が管理するにはすぐに圧倒的になります。セキュリティイベントを適切に監視するには、これらのイベントを保存およびトリアージするためのツールを導入する必要があります。ベンダーの人員とツールの選択を知ることで、セキュリティがどれほど真剣に受け止められるかを理解できます。結局のところ、人+ツール=お金=リソース=優先順位。セキュリティを優先して投資するパートナーを探します。

サードパーティは、物理的アクセス制御と技術的アクセス制御の両方をどのように管理していますか？ アクセス制御は、脆弱性、したがってリスクを軽減する1つの方法です。それらは、物理的および技術的な2つの主要な形式を取ります。ハイパーコネクテッドワールドでは、物理的な制御の重要性を忘れがちです。サードパーティがデータを保存、処理、送信する物理的な場所と、それらの場所の物理的なセキュリティのレベルを特定する必要があります。データをモバイルデバイスに保存する場合は、それらのデバイスが常に静的な物理的な場所にあるとは限らないため、それらのデバイスに関連付けられているセキュリティ制御を理解することが重要です。

技術的なアクセス制御も、システムとネットワークの評価にとって重要です。何人の個人があなたのデータにアクセスできるのか、そしてどのような目的でアクセスできるのかを尋ねます。サードパーティが多要素認証を使用する方法、管理者グループのユーザーが確認される頻度、システム権限が確認される頻度、および退職した従業員のアクセスが削除される方法を理解します。さらに、ネットワークセグメンテーションの実践とツールがどのように使用されるかを学びます。たとえば、本番システムをインターネットなどの他の環境から分離するために、どのような制御が行われていますか？サードパーティは内部ネットワークをどのようにセグメント化しますか？

多くの場合、優れた物理的アクセス制御は弱い技術的制御を補うことができ、その逆も可能です。ただし、ベストプラクティスは、データとシステムへの物理的および技術的なアクセスを、サービスを提供するために必要な個人に制限することです。緩いアクセス制御は攻撃対象領域を開き、リスクを高めます。

サードパーティはシステムにパッチを適用するためにどのようなアプローチを取っていますか？ 未知または非公開の脆弱性は劇的で多くの注目を集めていますが、まれです。組織は、未知の脆弱性よりも既知の脆弱性のリスクが高くなります。その結果、サードパーティは、欠陥を更新し、根本的な脆弱性のあるソフトウェアを削除するセキュリティパッチを迅速に適用することにより、既知の脆弱性を修正するための堅牢なプログラムを導入する必要があります。

主要なソフトウェアベンダーは、定期的にアップデートをリリースしています。サードパーティのレビューでは、データを処理、保存、送信するシステムが定期的かつタイムリーな更新を受信し、緊急かつ重大な脆弱性に対して迅速なプロセスが存在することを確信する必要があります。

サードパーティは独立した監査またはテストを受けていますか？どのようなセキュリティ認証を取得していますか？ 監査は組織に説明責任を負わせます。サードパーティは、SIGLiteやCSACAIQなどの現在の標準化されたセキュリティ質問票に記入して保持することにより、自己監査する必要があります。自己評価だけでなく、独立した監査により、サードパーティがそのポリシーと手順に従っているという安心感が得られます。独立した監査には、侵入テストやSOC 2が含まれる場合があります。一部の業界では、ヘルスケアのHITRUST、支払い処理業者のPCI、米国連邦政府のFedRAMPなどの独自の認証を取得しています。いずれの場合も、独立した監査が重要であり、検証済みの正式な情報セキュリティプログラムを維持することへのコミットメントを示しています。

まとめると、これらの重要な領域に関する議論は、ベンダーのセキュリティ体制の感覚を与えるでしょう。ベンダーの回答が透明であり、戦略的な優先順位と積極的な勤勉さを示している場合は、より自信を持って前進できます。ベンダーのセキュリティ体制が未成熟である場合は、リスクを受け入れるか、リスクを制御するための他の緩和策を検討する必要があります。

データセキュリティを後から考えないでください。それを製品とサービスの議論の不可欠な部分にします。膨大で複雑な攻撃が行われる今日の環境では、サイバーセキュリティは ビジネス上の問題。リスクを理解するには、デューデリジェンスを行う必要があります。

Jeremy Haasは最高セキュリティ責任者であり、RyanBergquistはサイバーセキュリティアナリストです。 LookingGlass Cyber​​ Solutions 。