これからの企業に必要なのは「リスクベース認証」- RSA幹部の見解

[2019/07/29 08:00]鈴木恭子 ブックマーク ブックマーク

セキュリティ

取引先のセキュリティ対策を評価する

もう1つ、今後の課題となるのが「サプライチェーンのデータ管理」である。DXが進み、業種/業態の異なる複数の企業でデータを連携する場合、連携先からデータが漏えいしたり、API(Application Programming Interface)の脆弱性から不正侵入されたりする可能性は高まる。

日本でも第三者とのデータ連携や情報取引がトリガーとなった情報漏えい事件は増加している。APIを介して複数のシステムやサービスと連携した場合、セキュリティレベルの低い会社のシステムにある脆弱性が攻撃対象となる。貴島氏は、「情報漏えいが発生するきっかけの多くは、セキュリティレベルの異なるシステム同士が連携したときです」と指摘する。

「取引先のセキュリティレベルを知らないでシステム連携をして情報漏えいが発生した場合、たとえ自社のミスでなかったとしても、ユーザーに対して『ウチのミスでないから知りません』とは言えないですよね。こうした事態を避けるためには、第三者による(取引先の)評価データを参考にして、セキュリティレベルを調べる必要があります」(貴島氏)

RSAは2019年3月、サードパーティのリスク評価とセキュリティレベルを可視化するソフトウエアを提供する米RiskRecon(リスクリコン)との提携を発表した。RSAのGRC(ガバナンス・リスク・コンプライアンス)管理製品である「RSA Archer」にRiskReconが提供する機能を組込み、「RSA Archer Third Party Security Risk Monitoring」として提供する。

RiskReconでは取引先(候補)のWebの暗号化、セキュリィパッチ適応の有無、DNS Securityといったセキュリティ対策を独自にスコアリングして可視化する

貴島氏は、「Webポータル上で取引先の簡単なリスク情報だけを入手したい場合には、RiskReconの機能だけ利用することもできます。一方、取引先を中、長期的に監査し、継続的な管理プランニングをする場合には、Archerの機能と組み合わせて利用することを推奨しています」と語る。

* * *

企業間でデータ連携をするには、経営層がイニシアチブを取ることが不可欠だ。そのためには経営者自らが、能動的に知見を広め、情報を収集する必要がある。ゲイヤー氏は、「デジタルリスクの課題が顕著になる今こそ、企業はサイバーリスクをリアルタイムかつ定量的にモニタリングする必要があります」と力説した。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

見えなければ戦えない - RSAがアジアで力説した「可視化」の重要性

見えなければ戦えない - RSAがアジアで力説した「可視化」の重要性

情報セキュリティの総合カンファレンス「RSA Conference 2018 Asia Pacific & Japan」が、7月25日から3日間の日程で開幕した。本稿では、7月25日に行われた基調講演の模様をお伝えする。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
知りたい! カナコさん 皆で話そうAIのコト
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る