ビジネスリスクを防ぐためのセキュリティベンダーとの付き合い方

今回は「ビジネスリスクを防ぐためのセキュリティベンダーとの付き合い方」についてご紹介します。

関連ワード (CIO/経営、ビジネス視点で分かるサイバーのリスクとセキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。

 ランサムウェアの被害に遭う中で運用・保守の責任範囲のあいまいさが問題になったり、流行り言葉に便乗した新しいツールの導入ありきの販促活動が行われたりするなど、製品・サービスの開発元からシステムインテグレーター(SIer)、販売会社に至るベンダーの在り方や活用の仕方がセキュリティの領域で問われる機会が増えている。そこで今回は、ユーザー企業が自組織のこれからのセキュリティを考える上で、ベンダーをどのような観点で評価するべきか、ベンダーとどのように付き合っていくべきかを考えてみたい。

 大阪急性期・総合医療センターで2022年10月に発生したセキュリティインシデントに関する調査報告書が公開された。ここでは運用・保守におけるユーザーとベンダーの責任分界点や、役割分担が契約段階からあいまいだったことが問題点の1つとして挙げられている。2021年に発生した徳島県つるぎ町立半田病院でのセキュリティインシデントでも同様に、ユーザー責任はもちろんだが、運用・保守業者の責任範囲の問題も調査報告書で指摘されている。国内ではセキュリティの領域はもちろんIT全般での慢性的な人材不足から、運用・保守や監視をマネージドサービス事業者(MSP)に委託することが広く一般的となっている。しかしながら、特にユーザー側の視点に立った時に、委託元と委託先の責任範囲や役割分担が明確になっているケースがどれだけあるだろうか。

 システムが、自組織の業務で活用する、あるいは顧客や社会にサービスを提供するものである以上、その安全性の確保はユーザー側の責任だが、ITやセキュリティに関する専門知識がユーザー側になければ、医療系や制御系のシステムやサービスの導入に当たってセキュリティの必要性を判断したり、体制を含めた具体策を自ら整備したりすることは難しくなる。

 逆に、ベンダーの側に担当事業部門とセキュリティ事業部門の社内連携や、他ベンダーとのようなエコシステムの中での連携がないことで、セキュリティに関する提言や提案が行われず、ユーザー側での業務システムが運用に入ることも多々ある。ユーザーが自前で対策ができなければ、危険度や緊急度が高いリスクが残存し、結果として重大な事故につながる可能性が高くなる。

 近年は、委託先や取引先といったサプライチェーンに起因したセキュリティインシデントが問題になっており、脆弱性のようなソフトウェアサプライチェーンリスクの問題も顕著になっている。緊急度や危険度の高い脆弱性の場合には、ベンダーだけでなく業界団体や、場合によってはメディアからも注意喚起される機会が増えている。

 ユーザーが自身で速やかに修正プログラムを適用できることが理想ではあるが、ベンダーの運用・保守契約の範囲内であれば、適用の頻度や対応スピードなど具体的な要件が明確になっている必要がある。実際問題、運用・保守契約の中でその役割がどちらにあるか、そして、要件がどうなっているかをユーザー自身が把握していないケースも多いのではないだろうか。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Appleフェローのフィル・シラー氏「最も誇りに思うのはiPod」
IT関連
2021-07-30 05:34
[速報]Google Cloudが「Gemini Code Assist」発表。最新のAIによるコーディング支援、Stack Overflowのナレッジも統合。Google Cloud Next '24
Google Cloud
2024-04-10 16:58
東京海上日動システムズ、「New Relic」を導入–基幹システムの監視を高度化
IT関連
2023-09-27 12:35
NEC、「Wi-Fi 7」対応無線LANアクセスポイントの新モデルを発表
IT関連
2023-06-13 17:08
Netflix、不正なパスワード共有を取り締まるテスト開始
アプリ・Web
2021-03-13 14:37
CXの重要性は理解するが具体的な施策に至らない–テラデータ調査
IT関連
2021-06-18 06:13
富士通と森永乳業、原材料の価格変動などを予測する基盤開発–意思決定の迅速化へ
IT関連
2024-10-31 17:03
Google協力、QunaSysが量子プログラミングや量子アルゴリズムを学ぶイベント「Cirq Bootcamp」開催
EdTech
2021-06-19 07:45
ドリーム・アーツ、「SmartDB」の国際対応を強化する「Global Connect」を発表
IT関連
2024-09-25 09:15
キャッシュレス決済サービスを支えるデータベース基盤として計画停止は許されなかった。そこで選ばれたNewSQLデータベースとは? [PR]
MySQL
2023-03-13 14:40
東大発スタートアップ「ソナス」が地震モニタリングシステム用無線振動計測システムを関西電力本社ビルに設置
セキュリティ
2021-06-18 12:56
音声コミュニケーションと生成AIの多様な活用を展開–レブコムが新戦略
IT関連
2023-07-11 14:14
コロナ禍で日本は生産性や孤独感が世界平均より高く–マイクロソフトが分析
IT関連
2021-03-23 18:15
ヴイエムウェアが年次イベント、日本20周年で「伝統と革新」「マルチクラウドとAI」を主軸に
IT関連
2023-11-16 10:02