リスクを最小限にするための「責任分界点」とは
ビジネスを動かすために必要なITリソースを組織として活用する以上、運用を含めて機器のライフサイクルを管理することだ。結果的にサイバー攻撃による重大事故が起きた場合には、その結果責任は運用・保守ベンダーではなくユーザー企業自身が負うことになる。そこで、機器のライフサイクル全般において、ユーザー企業と運用・保守ベンダーの責任分界点を明確にすることが重要だ。ユーザー企業ができること、運用・保守メーカーのサービスメニューでできることではなく、まずは機器自体のライフサイクル全般で必要となる対応項目と頻度を洗い出すことだ。そこからユーザー企業、運用・保守メーカーどちらの責任になるかを切り分けていく。
特にITリテラシーが高くないユーザー企業を相手にする場合には、運用・保守ベンダーは機器のライフサイクルで必要となる対応とその対応がとられなかった場合のリスクをわかりやすく説明するのが賢明だろう。ユーザー企業にITの話がわかる担当者がいないことで「説明してもわかってもらえない」といったベンダーの声も聞こえるが、それでは説明責任を果たしているとはいい難い。
運用・保守のライフサイクル全般をユーザー企業自身が管理することが理想だが、リソース的に自前で対応することが困難だったり、リスクを緩和する作業自体への責任を取れないのであれば、運用・保守ベンダーに有償でも任せるべきだろう。その上で、機器を運用する中でどのような作業がどれだけの頻度や緊急度で発生するのかといった点を運用・保守ベンダーに質問することで抜け漏れをなくすことだ。
最近ではリスクが残存したままインターネット上にさらされている自社IT資産を検索してくれるサービスもあり、日々の運用と併用することでリスクをさらに下げることもできる。ビジネスのために必要なITリソースを活用する以上「ITのことはわからないからそのまま放置する」という選択肢を取ることは賢明ではない。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>
