第三者提供者はセキュリティの悪夢に素早く変わる可能性があります。契約前に正しい質問をすることで、CISOはリスクを軽減できます。
Miljan Zivkovic | shutterstock.com
IT サービスプロバイダーおよび第三者ソフトウェアへの依存の増加により、企業の攻撃面が大幅に増加しています。これは多数のサイバー攻撃によって何度も強調されています。第三者提供者に関するリスクを完全に排除することはできませんが、確実に軽減することはできます。セキュリティの意思決定者が重要な役割を果たすべきです。CompTIA の CISO であるRandy Grossは次のように説明しています:「CISO は、データフロー、依存関係、下流への影響を含む、ビジネスプロセス全体を見渡す独特の立場にあります。それでも、多くの企業はこの視点を使用して第三者によるリスクを再評価していません。」
特に、契約が事業単位レベルで交渉されたり、財務承認閾値以下である場合、セキュリティリーダーはしばしば除外されます。これは、法律事務所Clark Hill のサイバーセキュリティ部門の責任者であるMelissa Ventroneも観察しています:「多くの企業では、セキュリティ担当者は契約後に参加させられるか、セキュリティの問題が既に発生している場合です。」
実際、CISOはこの点で実用的なテクノロジーアドバイザーとして機能し、彼らが評価に特に適切な重要な情報を取得する必要があります。
第三者提供者に尋ねるべき13の質問
以下の質問は、CISO およびセキュリティの意思決定者が実践に移すのを支援します。
1. 適切なセキュリティ管理のどのような証拠を提供できますか?
Onapsis のセキュリティプロバイダーの CTO であるJuan Pablo Perez-Etchegoyenによると、以下の証拠が最も一般的です:
- SOC 2 タイプ II(IT およびクラウドサービスプロバイダーの監査の黄金基準と見なされます)、
- ISO/IEC 27001、
- クラウドセキュリティアライアンス STAR(クラウドプロバイダー向けで、ISO 27001 とクラウド関連リスクの管理マトリックスを組み合わせています)、および
- 業界固有の認証(たとえば、健康データの処理向けの HIPAA/HITRUST またはPCI DSSクレジットカードデータの処理用)。
2. これらの管理はどのように更新され、重大な変更はどのように伝達されますか?
弁護士の Ventrone はさらに、潜在的な IT パートナーに詳細なデューデリジェンス質問票を提示することをお勧めします。さらに、法律の専門家は、特定の側面を契約に含めることをお勧めしています:「第三者提供者は、少なくともシステムおよびデータの保護レベルまたは回復力に悪影響を与えるセキュリティ管理を変更することを禁止する必要があります。」
3. ID ポスチャーの責任者は誰ですか。その人物はソーシャルエンジニアリングに基づくリクエストをどのように識別しますか?
第三者のチームが顧客システムおよびデータにどのようなアクセス権を持ち、それがどのようにセグメント化され、保護されているかは、マネージドサービスプロバイダー Stratascale の Field CISO であるCasey Corcoranによると、セキュリティの意思決定者が最も尋ねるべきです。「このアクセスが記録され、監視され、必要に応じて即座に取り消すことができることを確認してください。」
さらに、セキュリティ責任者は、ビジネスコンサルティング企業 TeraType の CSO であるJohn Alfordが強調しているように、正しい側面に目を向けるべきです:「多くのクライアントはファイアウォール、エンドポイントエージェント、MFA に焦点を当てていますが、攻撃者が好む信頼パス(ヘルプデスク ワークフロー、OAuth 統合、ベンダーサポートポータル、自動化コネクタ)を見落としています。」
Alford はまた、同僚に対し、厳密に定義されたロール範囲、多段階検証、およびログイン認証情報のリセット用の承認チェーンに注意するよう推奨しています。「これらのいずれも存在しない場合は、後で排除することができない盲点を示しています。」
4. ワークフローはどのように検証できますか?その効果の証拠を提供できますか?
多くの企業は、プロバイダーに実際に与える運営上の信頼がどれほど大きいかを過小評価しています。したがって、第三者は単にポリシードキュメントを提示できるだけでなく、ワークフローマップ、実行プロトコル、テスト証拠も提示できる必要があります。「最大のギャップは通常、安全だと思われる場所で発見されます。基準と管理が充実した確立された企業が、第三者提供者のワークフロー単独が責任を負う問題で失敗したのを見てきました」と Alford は述べています。
リスク評価は、彼の意見では、サーバーとネットワークだけに焦点を当てるべきではなく、ID ワークフローと手動で操作されるプロセスにも焦点を当てるべきです:「視点を拡げると、単に紙上では良く見えるが実装されていない管理措置が見つかるかもしれません。」
5. 独立したテストはあなたにとってどのような役割を果たしますか。そしてどのくらいの頻度で使用されていますか?
IT パートナーのセキュリティテストと評価に関しては、CISO はこれらが独立した第三者によって実施されることを確認する必要があります。弁護士の Ventrone はこう述べています。「これは少なくとも年に 1 回は行われるべきです。また、ネットワーク、インフラストラクチャ、またはセキュリティ管理の重大な変更がある場合も同様です。脆弱性スキャン、侵入テスト、監査の概要を確認できるようにしてください。」
セキュリティプロバイダー ThreatLocker の CEO であるDanny Jenkinsは、これらのレビューの頻度に特に焦点を当てています:「脅威は常に進化しています。年 1 回のレビューで十分ではありません。すべてのシステムに定期的に侵入テストを実施し、最適化する必要があります。」
6. サービスのすべての OAuth 統合と API 関係を一覧表示し、それらがどのように定義、監視、および取り消されるかを説明できますか?
Teratype CSO の Alford の評価によると、OAuth 統合はしばしば無害な利便性として扱われ、高い特権を持つチャネルとしてではなく扱われます:「実際には、忘れられたトンネルのネットワークのように機能します。正面玄関を完全にバイパスする手段を提供し、環境内の深くにあるシステムを接続します。」
企業は第三者提供者に対し、最小限のスコープ、有限の有効期間、および行動監視の機能を含むトークン インベントリを提供するよう要求する必要があります。Alford はその一方で、永遠に有効なトークンをリスク増加を示す警告信号と見ています。
7. 攻撃者があなたのプロセスを悪用した場合、システムに侵入することなく、契約上および運用上の義務はどのようなものですか?
第三者がパスワードをリセットしたり OAuth 統合を管理したりできる場合、契約は管理文書になります。これは、リスクがどのように共有されるか、および顧客がどのような証拠を要求できるかを定義します。この点では、セキュリティの意思決定者を第三者提供者との交渉に関与させることが特に重要です。Alford が強調しているように:「CISO の関与がなければ、契約条項は通常不利な方法で機能します。これは、セキュリティの視点がなければ、焦点が利用可能性に向かう傾向があり、セキュリティにはあまり向かないためです。顧客として、プロバイダーの義務が侵害されたシステムだけでなく、侵害されたプロセスにも及ぶことを主張する必要があります。」
8. 環境内の従業員の活動を管理するためにどのような管理措置が講じられていますか?また、標準からの逸脱行動をどのように検出しますか?
「現代の攻撃キャンペーンは信頼関係とソフトな運営プロセスを活用しています。危険はしばしば予期しない場所に潜んでいます。例えば、ヘルプデスクです」と Alford は警告しています。第三者の従業員の活動を監視することは、したがって、成功に決定的です。セキュリティプロフェッショナルは、パートナーがセッションを記録し、リアルタイムアラートを提供し、タスクを厳密に分離することを主張するよう推奨しています。
9. 私たちの資産とデータを他の顧客のものからどのように分離していますか?
潜在的な第三者提供者に関しては、CISO も明確なアーキテクチャと損害を制限できる具体的な対策に注意を払う必要があります。また、第三者がその独自のサプライチェーン内のリスクをどのように管理しているかも役割を果たします。「IT パートナーは堅牢なベンダー管理プログラムを持ち、独自のサービスプロバイダーに適切なデューデリジェンスを実施する必要があります」と Ventrone はアドバイスしています。
10. セキュリティインシデントが当社のデータまたはシステムに影響を与える場合、どのくらい迅速に通知されますか?
潜在的なセキュリティインシデントについて IT パートナーから通知されることは当然のはずです。しかし、それがどのくらい迅速に行われるかも役割を果たすべきです。Stratascale Field CISO の Corcoran は以下を推奨しています:「契約は、第三者からの 24 から 72 時間以内の報告を保証する必要があります。さらに、セキュリティ責任者は、テストされたインシデント対応計画と、契約に定められた追加の責任にも注意を払う必要があります。」
Alford もこの点でセキュリティを最優先視しています。第三者は顧客に対し、顧客が独自の脅威分析を実施できるよう十分な情報を提供する必要があります:「これが行われない場合、顧客企業はホスティングプロバイダーの検出および報告機能のみに依存できます。」
11. 脆弱性をどのように識別、優先順位付け、および修復しますか?
多くのサイバー攻撃が既知の脆弱性を標的にしているため、第三者を評価する際には、パッチポリシーと修復期限にも注目する必要があります。Onapsis CTO の Perez-Etchegoyen はこれに関連するリスクについて説明しています:「遅いパッチサイクルは、サプライチェーンの中断、運営上の問題、時には破産につながる可能性があります。」
Ventrone はこの点で、ファイアウォール管理を第三者にアウトソースした企業の例を挙げています:「ファイアウォールの脆弱性が悪用された後、パートナーは最終的に脆弱なバージョンを復元しました。これにより、2 番目の侵害が発生しました。率直に言って、そのようなことは不可能です」と弁護士は述べています。
12. すべての顧客への潜在的な影響をカバーするサイバー保険がありますか?
SANS Institute の Faculty Fellow であるJoshua Wrightによると、SaaS プロバイダーへの攻撃は今後も増加し、下流のリスクも増加するでしょう:「このような第三者が侵害された場合、ランサムウェアなどの後続の攻撃の可能性が多くあります。」
したがって、Ventrone は CISO に、第三者との交渉で、サイバー保険契約がその企業だけでなく、複数の顧客が影響を受けるインシデントの全体的な影響もカバーしていることを確認するよう推奨しています。
13. プロセスをテストできますか?
SANS の専門家 Wright はさらに、テストと監視の証拠が不可欠であると考えています。例えば、侵入テスト、セキュリティ監視、脅威狩りに関してです。しかし、Alford はさらに一歩進むことをお勧めします:「現実的なシナリオを含むプロセステストは、リスクが実際にどこに存在するかを明らかにすることができます。これにより、攻撃者の思考に対応する管理措置を開発できます。ドキュメントに記載されているもの、またはドキュメントに記載されていないものではなく、実装されているプロセスに合わせて。」(fm)
翻訳元: https://www.csoonline.com/article/4130820/13-fragen-gegen-drittanbieterrisiken.html
