Google と Salesforce がベンダーをチェックする企業向けのサイバーセキュリティ ベースラインを作成

Google と Salesforce は、ベンダー中立のセキュリティ ベースラインの作成を発表しました。 実行可能な最小限のセキュリティ製品 (MVSP) これは「審査プロセスを簡素化しながらセキュリティの基準を引き上げる」取り組みであると彼らは述べています。 

MVSP は、Okta、Slack などによって開発され、サポートされています。 Google セキュリティ担当副社長 ロイヤル ハンセン 言った これは、「許容可能な最小限のセキュリティ ベースラインを確立することで、調達、RFP、およびベンダーのセキュリティ評価プロセス中のオーバーヘッド、複雑さ、混乱を排除するように設計されています。」 

「MVSP を使用すると、業界は各段階での明確性を高めることができるため、業界の双方の関係者が協力できるようになります。 方程式は目標を達成し、オンボーディングとセールスのサイクルを数週間、場合によっては数か月短縮することができます。」 ハンセン氏は語った。

「MVSP は、B2B ソフトウェアおよびビジネス プロセス アウトソーシング サプライヤー向けの一連の最小セキュリティ要件の開発に焦点を当てた共同ベースラインです。 シンプルさを念頭に置いて設計されており、合理的なセキュリティ体制を確保するために少なくとも実装する必要があるコントロールのみが含まれています。 MVSP は、ソリューションのセキュリティ体制を検証するために使用できる最小限のベースライン チェックリストの形式で提供されます。」

企業は長い間、ベンダー向けに独自のセキュリティ ベースラインを作成する必要があり、プロセスが複雑化していました。 組織のために収集し、準拠するベンダーのベースラインの複雑な迷路を作成することは困難です。

Hansen 氏は、MVSP は一連の最小要件を明確に伝える、実務家による支持を受けた業界全体のベースラインを作成すると説明しました。

この要件は、組織が自社のプロセスのギャップを理解し、ベンダーに対して厳しくする必要がある領域を特定するのにも役立ちます。

「MVSP は、一般に公開され、業界の支援を受けているセキュリティ関連の質問を 1 セット提供します。 単一のベースラインに基づいて調整することで、ベンダーの理解がより明確になり、その結果、より迅速かつ正確な対応が可能になります」とハンセン氏は述べています。

「MVSP は、最低限のセキュリティ管理に関する期待が事前に理解されていることを保証し、契約交渉段階での管理に関する議論を減らします。 外部のベースラインを参照すると、契約文言が簡素化され、要件への習熟度が高まります。」

ハンセン氏は、両社はセキュリティコミュニティや貢献したいと考えている他の人々からのフィードバックに興味を持っていると付け加えた。

Salesforceは、サードパーティベンダーへの業務アウトソーシングは諸刃の剣であると述べた。 セールスフォース関係者は、コストを節約できる一方、重要なシステムや顧客データへの外部アクセスが許可されると述べた。 最近の調査によると、企業の 59% がベンダーのいずれかによるデータ侵害を経験したことがあります。

MSVP チェックリストには、ベンダーが年次包括的チェックリストを実行しているかどうかに関する質問が含まれています。 システムの侵入テスト、およびベンダーが現地の法律や規制に準拠しているかどうか GDPRのような。

質問には、ベンダーが最新の業界標準プロトコルを使用してシングル サインオンを実装しているかどうか、またはセキュリティ パッチを頻繁に適用しているかどうかも含まれます。

ベンダーは、アプリケーションが処理することが予想される機密データの種類のリストを管理していますか? 機密データがどのようにシステムに到達し、最終的にどこに保存されるかを示す最新のデータ フロー図を保管していますか? これらはすべて、MSVP チェックリストによって提起される質問です。

チェックリストには、施設の物理的なセキュリティに関する質問や、ベンダーが多層的な境界制御や入退室ログを備えているかどうかについての質問も含まれています。

「MVSP を使用すると、業界は各フェーズでの明確性を高めることができるため、方程式の両側の当事者が対応できます。 目標を達成し、オンボーディングとセールスのサイクルを数週間、場合によっては数か月短縮することができます。」 言った。