※ 本記事は、Mary Ann Davidsonによる”The Answer Is…“を翻訳したものです。

2023年7月19日

ここ数年の間に見たセキュリティの大きな変化の1つは、セキュリティ質問リストの使用が大幅に増加していることです。その多くは理解しやすく、情報システムに対するセキュリティの重要性が高まり、セキュリティ・プラクティスを精査した規制制度が増大した結果です。最近のもう1つの要因は、多くの企業によるクラウド・サービスへの移行の増加です。驚くことに、クラウド・サービスの顧客は、自社のクラウド・サービスとそこに含まれる重要なビジネス・データを保護するためにサービス・プロバイダが何をしているかを見極めたいと考えています。

セキュリティ質問リストの使用の増加に伴う課題の1つは、ビジネス・リスクに関係する質問の関連性、およびリスクを評価するより具体的には関係します。もちろん、顧客が製品またはサービスを使用する特定のリスクに関する質問をすることは、完全に理解できます。サプライヤのすべてのビジネス・リスクについて尋ねることはあまり役に立ちません。そのリスクの多くはサプライヤのリスクであり、顧客のリスクではないためです。

アナロジーを使用するには、デイケア・プロバイダを検討してください。子供を持つ親であれば当然、子供を預ける前にデイケア・プロバイダ(およびプロバイダの施設)を徹底的にチェックするでしょう。親は、デイケア・プロバイダがライセンスされているかどうかを知りたい場合があります。また、設備はどう見えますか? 清潔ですか? 安全ですか? プロバイダは一度に何人の子供を扱っていますか? 親は、リスクを最小限に抑え、許容範囲を維持するために、子に対するリスクとプロバイダに対する信頼度を評価しています。これらはすべて合理的で理解しやすいものです。ここで、親がデイケア・プロバイダのホームではなく、プロバイダの別荘を評価するとします。これは明らかに範囲外です。デイケア・プロバイダは(別荘のオーナーとして)いくつかのリスク(ベランダの下にガラガラヘビ、その地域にマウンテン・ライオンがいるなど)を抱えているかもしれませんが、別荘はデイケア・サービスが提供される場所ではないため、そうしたリスクは親には関係ありません

もう1つの課題は、セキュリティ質問リストの適切な範囲設定です。顧客のリスク(および責任)は、オンプレミスとクラウド・サービスでは異なります。また、クラウド・サービスの種類によっても異なりますが、その主な理由は、顧客がシステムを管理している程度と、サプライヤが管理している程度とが異なるからです。「すべての製品およびサービス」に関する質問にサプライヤに回答するよう求めるセキュリティ質問リストは、通常、その理由で機能しません。たとえば、クラウド・サービス向けに設計されたセキュリティ質問リストは、オンプレミス製品にはほとんど関係ありません。たとえば、「どのくらいの頻度で、どの程度迅速に(サプライヤ)パッチを適用しますか?」などです。オンプレミスの場合、パッチの適用に責任を持つのはもちろん顧客です。

「すべての製品およびサービス」の標準サプライヤ回答を収集しようとするセキュリティ質問リストは、通常、これらのサービスは、機能や運用セキュリティの実践(および適切な理由により)と大きく異なる可能性があるため、実行不可能です。ハワイ、アイダホ、カリフォルニアの不動産を持つ別荘/リゾート・ビルダーについて考えてみましょう。これらの特性は、気候(マウナ・ケアを除くハワイではあまり雪が降らない)、脅威(ハワイでは溶岩流とハリケーン、カリフォルニアでは地震と山火、アイダホでは雪)などの理由により、非常に異なる方法で構築される可能性が高くなります。建築設計とリゾートでの「業務慣行」が違う理由はよくあります。ハワイのリゾートについて知りたいなら、そのリゾートについて質問するだけです。技術的な領域に話を戻すと、「提供されるすべての製品とサービス」に対して、単一の質問リストが有用であったり、意味のある標準的な回答を生成したりする可能性は低くなります。

もう一つの課題は、命名です。用語は、誰が質問をしているか、そのコンテキストが何であるかによって大きく異なる場合があります。例を挙げると、多くの軍用パイロットは航空機を「鳥」と呼びます。明らかに、この「鳥」の利用は、オーデュボン協会のメンバーが「鳥」と表しているものとは大きく異なります。Xが何を意味しているのかわからない場合、Xが関係する質問に対する回答は、必ずしも正確で意味のあるものとはかぎりません。質問リストの用語は、明確に、理想的には前もって定義する必要があります。たとえば、「脆弱性」とはどのような意味ですか? これは構成の弱点ですか? コーディング・エラーのことですか? あるいは、セキュリティの脆弱性を具体的に引き起こすコーディング・エラーの脆弱性ですか? 「ソフトウェア・テスト」とは何ですか? 回帰テストを行いますか? 侵入テストを行いますか? 静的コード分析は実行されますか? 動的コード解析は実行されますか? 「Xについて心配しています」に対して「…そしてこれがXの取り扱い方です。」と答えることができるように、前もって用語の意味を例を挙げて明示することは、全員が同じ方向を向くことができます。

ベンダーができることのできることの1つは、可能なかぎり標準テンプレートの使用を促進することです。つまり、業界全体で広く採用されている、セキュリティに関する質問のセットです。このようなクラウド・サービスの例の1つは、Cloud Security Alliance (CSA)によって開発されたConsensus Assessment Initiative Questionnaire (CAIQ)です。CAIQなどの標準セキュリティ質問表の利点は複数あります。1つには、準備が整った状態でセキュリティに関するよくある質問に回答することで、全員がより早く完結できます。顧客が求めるセキュリティに関する質問が適切で、標準フォーマットで事前に回答すれば、それらを簡単かつ迅速に利用できるようになります。ただ公開するだけかもしれません。適正な透明性は、顧客の信頼性が高まり、また、質問の言い回しが微妙に異なるだけで、同じ懸念に対処しようとする単発のセキュリティ・アンケートに複数回答するよりもはるかに効率的です。標準的な質問リストは、顧客と仕入先が同じ言語を話せるようにするためにも役立ちます。また、顧客にとってリンゴとリンゴを比較するのもはるかに簡単です(ベンダーXはこの質問に1つの方法で回答し、ベンダーYは同じ質問に別の方法で回答しました)。したがって、顧客は、様々なサプライヤが特定の懸念領域にどのように対処しているかをより簡単に判断できます。クラウドのお客様は、既存のセキュリティ認証を同じ目的で使用することもできます。認証は、通常、独立した評価者によるベンダーのセキュリティ要求の検証を伴うため、より高いレベルの保証を提供します。

知識はパワーであり、間違いなく、意味のあるセキュリティの質問を求めることは、顧客が何を得ているかを知り、リスクを適切に判断するうえで重要です。「意味のある」質問には、顧客が使用している、またはライセンスの使用を検討している特定の製品やサービスに対する顧客が質問の範囲を広げることも含まれます。「意味がある」質問とは、サプライヤのすべてのビジネス・リスクではなく、顧客にリスクに関する質問をし、条件が明確に定義されていることを確認することを意味します。ベンダーも顧客も、この対話を有意義でスムーズなものにできればできるほど、私たち全員がYesに近づくことができます。あるいは、「はい、でももうひとつだけ質問があります」でもいいです。

 

詳細は、次を参照してください。:

Oracleの企業セキュリティWebサイトは、https://www.oracle.com/corporate/security-practices/ にあります。