サイバーセキュリティを念頭に置いてセキュリティベンダーを選択するには
御社のパートナーエコシステムでは、サイバーセキュリティが考慮されているでしょうか。サプライチェーンリスク評価が非常に重要である理由と、信用できるベンダーを選択する方法について見ていきます。
今日、多くの企業がデジタルトランスフォーメーションの推進に取り組んでいます。企業は、最新のIoTデバイスに投資し、古いプロセスを革新的なソリューションを使ってデジタル化し、すでに収集しているデータから利益を得るための新しい方法を探しています。ただ、ビジネスチャンスが拡大すると、リスクも大きくなります。
エコシステムに追加するデバイスやソリューションが増えれば、それだけサイバーセキュリティの脆弱性にさらされる危険性も高くなります。Accenture社の『State of Cybersecurity Report』によると、すべてのサイバー攻撃でサードパーティのリスクが依然として多くを占めています。発生したサイバー侵害の61%が、サプライチェーンを経由して組織が間接的に攻撃されたことによるものです。
組織のネットワーク境界が明確に定義できなくなっているこの世界で、企業や政府機関が自らを守るにはどうすればよいでしょうか。これは、パートナーシップを結ぶベンダーや購入するソリューションを対象にベースラインとなるセキュリティ標準を確立するため、より徹底的なサイバーセキュリティリスク評価を受けることから始まります。
サプライチェーンのリスク管理の優先度を高める
サプライチェーンのリスク管理は、目新しいものではありません。さまざまなデータ漏洩事例を誰もが耳にしています。ある国の政府による国有カメラメーカー事業禁止措置では、信用やセキュリティの脆弱性、製品の情報プライバシー侵害、そして、膨大な数の顧客がさらされているマルウェア攻撃が言及されています。
御社が選択したパートナーは、御社のサイバーレジリエンスに間違いなく影響します。また、サードパーティによるデータ漏洩が頻発するようになっているため、データ保護とプライバシーに関する規制の多くが、組織の責任をより厳しく追及する傾向にあります。
たとえば、EU一般データ保護規則では、組織が利用しているサプライチェーンでデータ漏洩が発生すると、その組織が責任を負わされます。侵害の責任がサプライヤーにあると思われる場合でも、法的には、企業またはデータコントローラーに対し、インシデントの発生後72時間以内に報告することが求められます。
このことの何が問題なのでしょうか。 Ponemon InstituteとMastercardのRiskReconによる最新の調査によると、取引しているサプライヤーで機密情報の漏洩が発生した場合に、そのサプライヤーから通知を受けられると確信している組織は34%にとどまっています。
データ漏洩による損害は長期にわたる可能性があります。コンプライアンスの欠落に対する罰金も手痛い損害ですが、それ以上に、いったん失った企業の評判や顧客からの信用を取り戻すのは容易ではありません。
御社のサイバーセキュリティに対する姿勢を強化するサプライヤーを見つける
相互接続されている今日の世界でサイロ化した状態では、強力なサイバーセキュリティは確立できません。御社と同じぐらいサイバーセキュリティを重要視しているサプライチェーンベンダーを見つけることが肝要です。
ベンダーを吟味し選抜するための確固とした戦略を策定すれば、情報プライバシーやサイバーセキュリティ体制の強化以上のことが可能になります。脆弱性の特定と解消に一緒に取り組めるパートナーチームを編成することで、脅威が進化し新しくなっても対処できるようサイバーセキュリティ体制を堅牢化できます。
あるフィジカルセキュリティベンダーがサイバーセキュリティに真剣に取り組むと確信するには、どうすればよいでしょうか。次のような問いを考えてみます。
リスクの特定と軽減
そのベンダーは、新しい脅威の出現と、その脅威が運用、データ、人にもたらす潜在的影響を事前予防的にモニタリングしているか。セキュリティと脆弱性のギャップを埋める包括的な戦略を策定しているか。サイバーセキュリティに関して、どのような方針を策定しているか。
サイバーセキュリティを念頭に置いて構築したソリューション
そのソリューションは、最新の認証および暗号化テクノロジーを採用するなど、複数のセキュリティレイヤーにわたって開発されたものであるか。サイバーセキュリティの堅牢化に役立つ
ドキュメントやツールを提供しているか。ユーザーのプライバシーや機密情報を保護するツールや機能を提供しているか。
信用のネットワークt
そのベンダーのパートナーも、セキュリティやデータ保護を念頭に置いているか。最高水準のサイバーセキュリティとコンプライアンスが確保されるよう注意して、パートナーを吟味し選抜しているか?
透明性と開放性
サイバーセキュリティのベストプラクティスについて、その顧客に情報やサポートを提供するためにどのような措置を講じているか。既知の脆弱性について率直に公表し、戦略や修正内容を共有して迅速に是正できるようにしているか。御社の機器が個人情報にアクセスするために使用された場合の責任者は誰か。
データセキュリティとプライバシー標準
ISO 27001などの情報セキュリティ標準に準拠しているか。第三者の監査者を採用し、セキュリティギャップを特定して埋めるための侵入テストを実施しているか。他の規制当局や国際協力機関から認定を受けているか。
サプライチェーンを常に事前予防的に強化しているか。
リスク管理戦略は、策定するだけでは十分ではなく、実行される必要があります。脅威は進化を続けています。サイバーセキュリティに対する取り組みもそうあるべきです。リスクレビュー、サイバーセキュリティ戦略評価、サプライチェーンセキュリティ監査は定期的に実施する必要があります。
月1回、あるいは年に1回は、ベンダーのサイバーセキュリティポリシーをレビューする時間を取るべきです。侵害発生時の状況と、そのインシデントにどのように対処したかを文書化します。データ保護の実施方法に変更があったか、新しいサイバーセキュリティ認定を取得したかを確認します。
チャネルパートナーやソリューションベンダーに対するサイバーセキュリティチェックインの定期的なスケジュールの策定を検討することも一案です。こうした議題に焦点を当てた会議を設定すれば、利用可能な最新のサイバーセキュリティ機能について討議したり、さらに堅牢化できる箇所を特定したりできます。
たとえば、プロまたはエンタープライズレベルのGenetec™システム、あるいはGenetec Advantageサブスクリプションをご契約中のお客様は、チャネルパートナーとともに、Genetecのプロフェッショナルサービス担当者との年次会議を設定できます。この会議は、システム健全性のフル検査、サイバーセキュリティ監査、自動アップグレード計画などの目的で行うことができます。
サイバーセキュリティを専門とする信頼できるベンダーと提携する
フィジカルセキュリティシステムのセキュリティは、単純に、最も脆弱な箇所や、信頼性が最も低い接続デバイスと同程度になります。最高水準のサイバーセキュリティプラクティスに基づくベンダーを選択すれば、状況を変えられます。
Genetecのソリューションには、その設計段階から品質保証にいたるまで、研究開発プロセス全体にわたって、サイバーセキュリティのベストプラクティスが組み込まれています。これにより、Genetecは、御社の機密情報の保護に役立つ、法規制に準拠したサイバーレジリエンスソリューションを提供することができますが、それだけではありません。私たちは、サイバー脅威の新たな発生を常に把握し、パートナーやお客様と連携してサイバーセキュリティ対策を進化させることにより、御社のサイバーセキュリティ体制を強固に保つことができます。