小規模ベンダーのセキュリティ管理の評価

私は、会社が消費しているベンダーからのものに基づいて、さまざまなアプローチを使用しました（場合によってはそれらを組み合わせました）。私たちはSaaSサービスをAWSからホストに利用するサービスを提供している小さなベンダーを持っているか、またはそれらがサービスを提供している可能性があります（データを提供し、分析または他のサービスを実行する場合）） 、またはスタッフの増強などが考えられます。

エンゲージメントのタイプごとに：

• 私は、リスクがありそうな10の領域（NIST 800-171と大まかに一致）と、リスクを評価するためにプロバイダーが回答するいくつかの標準的な質問について概説しました。

• プロバイダー自身がサードパーティを使用してサービスなどをホストしている場合は、SOC 1レポートを提供するように依頼します。

• サービスの契約では、調達チームと協力して、アンケートに示されているように、コントロールの存在を監査および検証できるようにしました。

• 私は、ベンダーからのインシデントレポートを迅速に提供する補遺があることを確認します。

率直に言って、契約の基本的なセキュリティデューデリジェンスを実行できない小さな店はあなたにサービスを提供すべきではありません。事業分野によっては、ベンダーがセキュリティ問題に備えていない場合、非常に大きなリスクにさらされることになります。少なくとも、GDPRの要件とEUが課した罰金は、これを軽視しないように注意する必要があります。

ISO 27001、SIG、COBIT、COSO、HITRUST、NIST、CISなどのビジネスニーズに応じて、さまざまな組織で使用されるさまざまなセキュリティ評価フレームワークがあります。 ISO 27001に準拠しています。これは、両方の当事者による実装と解釈が容易になります。チェックリストをさらに進めると、COBIT、COSOなどのフレームワークを参照して改善できます。

質問：どのような代替アプローチが実行可能ですかリスク評価市場規模も小さく、競合他社もほぼ同じサイズであるため、ベンダーを切り替えることはできません。

ああ、それは非常に深い質問です。 リスクアセスメントは、環境ごとに異なる非常に複雑なものであるため、1つの企業にとって問題ないことは言うまでもなく、他の企業にはまったく受け入れられない場合があります。

サードパーティベンダーには専用のITセキュリティチームがないため、環境へのリモート接続へのアクセスを許可することでリスクを評価するのはチームの責任です。しかし、彼らにはITセキュリティチームがないため、リスクは非常に大きくなります。ベンダーには、それらにさらされる機密情報（たとえば、リモートなど）を保護および/または確実に保護するメカニズムがないためです。接続資格情報\接続プロパティ）。

そこにあるフレームワーク（NIST、ISO、PA DSS）には、職務の分離、必須のITsecポリシー、定期的な脆弱性スキャンの実施など、いくつかの共通点があるため、ITSEC専任チームのない企業は、準拠していない。

あなたの会社は彼らとビジネスを行うための唯一のオプションを持っています：

RAM（リスク承諾メモ）に署名し、彼らがアクセスするリモート環境（トラフィック監視、1回限りのリモート環境、ステージング環境）に最大のセキュリティを提供し、何も悪いことが起こらないことを期待します。

NIST 800–171の第3章の要件リストをご覧ください。このリストをサードパーティベンダーのアンケートに変換すると、非常に実用的な結果が得られます。