セキュリティアンケートへの回答の内容、理由、方法
公開: 2021-08-20セキュリティ質問票の発行に役立つソリューションには、多くのオプションがあります。
セキュリティに関するアンケートへの回答に関しては、選択肢は少なくなりますが、骨の折れる手作業で反復的なプロセスと見なされている作業を支援するソリューションが存在することを知っていただければ幸いです。
組織は、データが転送中、使用中、およびサードパーティ ベンダーに保存されているときに安全であることを確認できるように、セキュリティに関するアンケートが存在します。 消費者は、個人データ、金融データ、医療データ、およびその他のデータが常に保護されることを要求しています。 ほとんどの業界では、最低限の保護基準を確実に満たすためのコンプライアンス規制が存在します。
コンプライアンスを証明するために、ベンダーはリスク評価の一環としてセキュリティに関するアンケートに回答する必要があります。
従来、セキュリティに関するアンケートは、スプレッドシートまたはその他のダウンロード可能なドキュメントの形式で届きます。 これらのアンケートへの回答プロセスを自動化するテクノロジー ソリューションは、時間を節約し、アンケートに回答する際の一貫性を確保したい場合に不可欠です。
自動化を難しくし、ベンダーがより多くの質問に 1 つずつ回答する必要があるオンライン セキュリティ アンケート ポータルの傾向が強まっています。 オンライン ポータルでのセキュリティに関するアンケートへの回答を高速化するのに役立つテクノロジや手法がいくつかありますが、自動化の戦略は、費用がかかり、セキュリティの 1 つの「フレーバー」にしか適用されない可能性がある独自のサード パーティの統合に大きく依存しています。
ますます高度化するセキュリティ アンケートに直面するベンダーとして、それらに効率的かつ包括的に回答するという課題があります。
セキュリティアンケートとは何ですか?
セキュリティ質問表は、通常はベンダーの手に渡って制御できない場合に、データが安全かどうかを組織が評価する必要がある場合に使用されます。
消費者とクライアントは、組織の管理下にある間は安全であるという前提で、組織のビジネス データとプライベート データを信頼しています。 組織は、組織外の個人またはエンティティが、組織と同等の最低限のセキュリティ レベルを維持することを保証する必要があります。
つまり、あなたの財布が安全であることを確認するためにどこにでも行く空手の黒帯を持つボディーガードがいる場合、そのボディーガードも少なくとも空手の黒帯を持っていない限り、誰にもあなたの財布を借りさせることはできません. また、引き継ぎが行われる場所も完全に安全である必要がありますが、財布を引き渡すときは両方のボディガードがそこにいる必要があります.
セキュリティ質問票は、通常、次の 3 つの場所のいずれかから取得されます。
- データにアクセスするために必要なすべての最小セキュリティ要件の評価を含む、通常はスプレッドシートで独自のものを作成します (つまり、「このフォームに記入して、あなたのボディガードが私のボディガードと同じくらい優れていることを証明してください」)。
- 自分で購入してください。 SIG (標準化された情報収集) アンケートのようなものを使用して、垣根を取り払い、すべてを評価することができます。 または、ネットワーク セキュリティ評価ツールである Nessus などを使用して、特定のリスクを評価することもできます。*
- 公開されているセキュリティアンケートを借ります。 一部の非営利団体は、志を同じくする専門家のメンバーシップによって合意された基準を含むアンケートを提供しています。 そのような例の 1 つが、Cloud Security Alliance (CSA) によって公開されている Consensus Assessment Initiative Questionnaire (CAIQ) です。
セキュリティ質問票ではないものの 1 つは、デュー デリジェンス質問票 (DDQ)です。 2 つの大きな違いがあります。 1 つ目は、DDQ はそれほど詳細ではなく、プロセスに重点を置いていることです。 組織が、組織の基準に準拠し、ニーズを満たす方法を知りたがっている場合、DDQ を受け取ることがあります。 証拠を提供する必要があるのは、セキュリティアンケートにあります。
2 つ目は、DDQ は通常、セキュリティ質問票よりも販売プロセスの早い段階で到着することです。 DDQ を最初のフィルターと考えてください。 組織は、DDQ 段階で準拠する方法がわからない場合、販売プロセスの詳細に時間を費やす価値はないと考えています。
これは必ずしも、セキュリティ アンケートをセールス プロセスの重要なマイルストーンと見なす必要があるという意味ではありません。 DDQ のように早い段階で表示されることもありますが、セールス プロセスのさらに進んだデモ段階で表示されることもあり、オンボーディング プランが形になり始めた成約後に表示されることもあります。 セキュリティアンケートを受け取ることは、最終的な成功を示すものではありません. しかし、時間通りに正確に応答しないと、確実に取引が台無しになる可能性があります。
なぜセキュリティアンケートが必要なのですか?
昔は、ソフトウェア アプリケーションは社内またはオンプレミスでホストされていました。つまり、データの所有者は常にデータを所有していました。 セキュリティに関するアンケートはまだありましたが、あまり関与していませんでした。
SaaS への移行により、データとビジネス クリティカルなアプリケーションはサード パーティに信頼されます。 組織が SaaS ソリューションを導入する前に、セキュリティの観点から 2 つのことを確信する必要があります。 1 つ目は、そのすべてのデータは、その SaaS ソリューションのベンダーによって安全に保護されます。
2 つ目は、アプリケーションが必要なときに利用可能であり、合意されたアップタイム ベンチマークに準拠していることです (たとえば、給与処理の直前に人事システムがダウンするのは望ましくありません)。 SaaS ソリューションの猛攻撃の結果、セキュリティ アンケートが急増しました。
それにもかかわらず、セキュリティに関するアンケートは、暗号化やストレージなど、データ セキュリティに固有の側面だけを評価するものではありません。 質問は、ほんの数例を挙げると、ネットワーク セキュリティ、監査およびコンプライアンス プロセス、さらには場所の物理的なセキュリティをカバーする場合があります。 事実、質問票は、主に 2 つの理由から、より一般的になり、より長く、より複雑になっています。
まず、SaaS ソリューションは複雑さと相互接続性が増しています。 完全にスタンドアロンのビジネス アプリケーションはほとんどありません。 組織がより大きな目標を達成するのを助けるために、彼らはしばしば互いに話し合う必要があります。
相互に通信する必要のあるアプリケーションが増えるほど、危険にさらされる可能性が高くなり、セキュリティ評価がより厳しくなります。
第二に、脅威は常に進化しています。 100% 安全なシステムなどありません。主な理由は、システムがどれほど安全でインテリジェントであっても、常にどこかに人間の指紋が存在するためです。
88%
のデータ侵害は、人的エラーに起因する可能性があります。
出典: CISO Mag
投票システムから燃料供給ネットワーク、大規模な小売業者に至るまで、悪意のある攻撃者は、弱点を見つけた場所ならどこにでもサイバー攻撃を向けるために素早く方向転換できます。
セキュリティアンケートのレビュー担当者は何を期待していますか?
正直で、直接的で、完全な対応。 そして彼らの時間を尊重すること。 指示に注意してください。 一部の質問には、簡潔で直接的な回答が必要です。 また、導入されているコントロールの種類について詳細な説明が必要な場合もあります。
自動化がサポートされていても、すべての応答をよく考えて、適切に応答されていることを確認する必要があります。 2 部構成の回答が必要な場合は、常に回答の簡単な説明を提供してください。 これは、「いいえ」または「該当なし」と答えなければならない場合に特に重要です。
あなたの反応は必ずしも肯定的である必要はありません。 何かを実装する計画があるからといって、はいと言わないでください。 それらの計画は、あなたが果たせないかもしれない義務になります。 配達できない場合は、絶対に肯定的に答えないでください。 クライアントが証明を求めることを常に期待してください。
率直に。 能動態を使用します。 簡潔さが重要です。 場合によっては、さまざまな方法で複数回質問されることがあります。 コピーと貼り付けは避けてください。 レビュアーの優先順位を推測しようとして時間を無駄にしないでください。 何が必須かを明らかにすることはめったにありません。 コンプライアンス チームとリスク チームが、すべての回答を細かく調べていると仮定します。
あなたの目標は、可能な限り完全な回答を得ることです。 回答が完全であればあるほど、フォローアップが行われる可能性は低くなります。リスク評価が早く完了するほど、取引を早く成立させることができます。 セキュリティ アンケートの回答によって取引が滞ることは望ましくありません。 それらは販売プロセスの後半に来て、何度もフォローアップや説明を行うとプロセスが遅くなり、販売チームを際限なく苛立たせます。
セキュリティアンケートの主要コンポーネント
ほとんどの場合、セキュリティ アンケートでは、幅広いセキュリティ コントロールが評価されます。 複数の種類のセキュリティにまたがる質問が予想されます。
セキュリティ「フレーバー」 | 質問例 |
アプリケーションのセキュリティ | Web アプリケーションには SSL 証明書がありますか? |
監査とコンプライアンス | カリフォルニア州消費者プライバシー法 (CCPA) への準拠をどのくらいの頻度で監査していますか? |
事業継続性 | 停止が発生した場合、アプリケーションはどのようにサービスを継続しますか? |
災害からの回復 | データ侵害が発生した場合、通知するのにどれくらいの時間がかかりますか? |
変更管理 | 緊急変更の定義は何ですか? |
データ・情報セキュリティ | セキュリティ プログラムはどのようなガイドラインに従っていますか? |
データのプライバシー | データをバックアップするプロセスはどのようなものですか? |
暗号化管理 | 製品は暗号化またはその他の暗号技術を使用していますか? |
物理的セキュリティ | シェアオフィスで働きませんか? |
ガバナンスとリスク管理 | セキュリティ イベントの記録を保持していますか? |
人事 | サイバー攻撃を検出する方法について従業員をトレーニングしていますか? |
ID とアクセス管理 | アプリケーションはシングル サインオン (SSO) を提供していますか? |
サードパーティの管理 | セキュリティ機能をサードパーティ プロバイダーにアウトソーシングしていますか? |
脆弱性管理 | 脆弱性分析を実施するために、どのソフトウェアまたは手法を使用していますか? |
多くの質問とコンテンツ要件は、次の 4 つのコンポーネントのいずれかに該当します。
1. セキュリティコンプライアンス証明書
セキュリティ コンプライアンス認定の証明は、セキュリティに関するアンケートで最もよく要求される情報です。 セキュリティ コンプライアンス証明書の例には、Service Organization Control 2 (SOC 2)、国際標準化機構 (ISO)、および National Institute of Standards and Framework の Cybersecurity Framework (NIST CSF) が含まれます。
2. サイバーセキュリティ ポリシーとポリシー ドキュメント
これらは、最も時間がかかる可能性があります。 それらは、情報、物理、アプリケーション、インフラストラクチャ、ネットワーク セキュリティなど、多くの分野をカバーしています。 これらの質問は、IT セキュリティ、データ プライバシー、およびビジネス回復力のポリシーを評価します。 完全なポリシー ドキュメントを提供するよう求められる場合があります。 また、特定のセクションを引き出すよう求められることもあります。
3. セキュリティ手順
このコンポーネントは、組織が顧客情報、データ、およびシステムを保護するための手順を評価したい場所です。
質問とリクエストは次の項目に集中する可能性があります。
- 従業員のセキュリティ意識向上トレーニングの手順
- サーバーまたはデスクトップの脆弱性にパッチを適用、アップグレード、軽減する手順
- セキュリティ侵害またはその他のインシデントが発生した場合のインシデント管理手順
- ダウンタイムが長引いた場合の災害復旧および事業継続計画
- 悪意のあるアクティビティの監視と追跡
4. IT リスクと軽減管理
組織があなたをベンダーとして追加することであなたのリスクを受け入れる場合、彼らは自分たちが何をしているのかを知る必要があります。 さらに重要なことに、彼らは、リスクを軽減するためにあなたがすでに行っていることを知りたがっています。
次のようなお問い合わせが表示されます。
- リスク管理計画を提出する
- 当社のデータおよび情報システムに直接影響を与える可能性のあるリスクのリストを特定する
- リスク評価方法について説明してください
- リスクを軽減するために実施されているセキュリティ管理策を列挙する
- リスク管理の責任者/役割の一覧表示
これらの質問に対する答えの多くは、すでにあなたが持っていることに注意してください。 問題は、それらがどこにあるかです。 これが、セキュリティに関するアンケートに迅速に回答するための鍵です。
セキュリティアンケートに迅速に回答するための 5 つのヒント
SaaS (およびサービスとしてのインフラストラクチャ [IaaS] とサービスとしてのプラットフォーム [PaaS]) の普及の結果として、より多くのセキュリティ アンケートが行われるようになるため、毎年複数のアンケートにシームレスに回答するには、正確性、効率性、再現性が不可欠になります。 これらの 5 つのヒントが役に立ちます。
AI と機械学習を実装して応答を自動化する
自動化ソリューションはすでに存在します。 皮肉なことに、それらも SaaS です。 重要なのは、独自のソリューションを構築する場合でも、ベンダーを探す場合でも、ソリューションに AI/ML 機能があり、単にコピーして貼り付けるだけではないということです。 応答には、答えを見つけるだけではありません。 最良の答えをすばやく見つけられる必要があります。
回答の検索と更新を合理化するコンテンツ管理ソリューションを開発する
おそらく、セキュリティ質問票に対するほとんどの回答をすでに持っているでしょう。 通常、問題は、これらの回答が存在するドキュメントがサイロ化され、複製され、古くなり、制限されたアクセスしか許可されず、検索できないことです。 コンテンツを集中化すると、この問題が解決します。
精度を高めながらターンアラウンド タイムを短縮するためのベスト プラクティスに従う
内部および外部のコラボレーション メカニズムが、ここでの改善を促進します。 AI / ML 対応の自動化に加えて、対象分野の専門家が回答およびレビューするための割り当てのキューイングも自動化できます。 不完全または不正確な回答が原因で発生する可能性があるイライラするフォローアップの質問を避けるには、チームを足並みをそろえることが不可欠です。
サードパーティのオンライン ポータルと直接対話するテクノロジーをサポートする SaaS ソリューションを特定する
AI/ML 自動化は、スプレッドシート、ドキュメント、PDF などのダウンロード可能なフォームで最適に機能します。 オンライン ポータルはより面倒で、この記事の執筆時点では、セキュリティ アンケートの発行者と応答者のソリューション プロバイダーとの間のバックエンド パートナーシップを通じてのみ自動化できます。
役立つテクノロジの 1 つは、コンテンツ ライブラリにリンクするブラウザ拡張ポータルです。 回答にアクセスするためにアプリケーションを切り替える必要がないため、オンライン ポータルをすばやく操作できます。
クライアントの締め切り前にセキュリティアンケートに記入する
これは習熟度と善意を表しています。 また、クライアントの貴重な時間を尊重しながら、セキュリティを真剣に考えていることで、クライアントに大きな安心感を与えます。
セキュリティアンケートで収益を圧迫しないでください
何らかの形でセキュリティアンケートに回答することは、近い将来、ベンダーオンボーディングプロセスの一部になります. 現在の状況に基づいて、セキュリティに関するアンケートは、サイズと洗練度が増し続けることが予想されます。
サイバーセキュリティの支出は 1 兆ドルを超えると予想されており、データ侵害の 63% をサードパーティ ベンダーが占めています。 組織は、データが安全であり、アプリケーションが利用可能であるというより多くの保証を望んでいます。
セキュリティに関するアンケートの受付から送信までを行うビジネス プロセスを実装し、応答プロセスを可能な限り自動化し、コラボレーションを改善して対象分野の専門家が仕事に集中できるようにすることで、アンケートへの回答方法をスピードアップし、簡素化できます。 あなたの目標は、セキュリティアンケートが販売プロセスのボトルネックにならないようにすることです。