ベンダー調達における認証のギャップ
企業のセキュリティチームは毎年数十のベンダーを審査します。迅速なフィルタリングが必要です。ISO 27001認証はその手段を提供します。監査人がすでにベンダーのコントロールを確認済みです。それにより社内チームが同じ作業を繰り返す必要がなくなります。
この認証を持たないベンダーは、すべての取引で証拠を一から構築しなければなりません。それは双方の時間を消費します。審査が遅れ、失敗するリスクが高まります。
2022年版規格がカバーする内容
現行版の附属書Aには、組織、人、物理、技術の4グループに93のコントロールがあります。チームはいくつかの重要な分野に集中します。
暗号化コントロール(附属書A 8.24): ベンダーは鍵の使用に関するルールを定義する必要があります。これらは鍵の作成、保存、アクセス、削除の方法をカバーします。認証は監査人がこのポリシーが機能することを確認したことを示します。
アクセスコントロール(附属書A 8.2–8.5): 顧客データへのスタッフアクセスは最小権限の原則に従わなければなりません。認証はそれらの制限が文書化され実施されていることを示します。
サプライヤー関係(附属書A 5.19–5.22): ベンダーは自社のサプライヤーに対するセキュリティルールを文書化しなければなりません。これは購入者が自社ベンダーが安全であることを証明しなければならない場合に重要です。
証明書はプロセスと組織のコントロールが整備されていることを確認します。これにより、規格が扱わないアーキテクチャに関する質問の小規模なセットへとカスタム審査が縮小されます。
認証が答えない質問
規格はプロセスの質問に答えます。規制対象企業が最も関心を持つことには答えません:ベンダーはデータを読めるのか?
認証されたベンダーは依然としてサーバー側の鍵を保持する可能性があります。認証は鍵管理がポリシーに従っていることを確認します。そのポリシーがベンダーの平文へのアクセスをブロックすることは確認しません。
ゼロ知識設計は規格が未解決のままにしていることに答えます。鍵はクライアント側で作成されます。サーバーに鍵は置かれません。データはクライアントを離れる前にAES-256-GCMで暗号化されます。ベンダーは顧客データを読めません。それは構造的な事実であり、ポリシーの選択ではありません。
これは2つの異なる懸念をカバーします。証明書は調達フォームのプロセスと組織のチェックを満たします。ゼロ知識設計は規制対象企業が最高位に位置づけるデータアクセスの懸念を満たします。合わせて、医療、金融、法律市場におけるクラウドベンダー承認の2つの主要なゲートをクリアします。
ゼロ知識設計がセキュリティアンケートにどう答えるかを参照し、セキュリティとコンプライアンスの概要を確認してください。
審査時間への影響
規制市場でのベンダー審査には時間がかかります。アンケート作業、文書審査、アーキテクチャレビュー、そしてセキュリティチームとの通話が含まれます。
認証は文書審査を短縮します。証明書と適用宣言書が証拠として機能します。監査人はすでにコントロールを確認しています。調達チームはその作業を繰り返す必要がありません。
ゼロ知識設計はアーキテクチャレビューを短縮します。データアクセスの質問には明確な構造的回答があります。設計自体を超えて交渉することは何もありません。
両方の要素がベンダー審査を長引かせる往復のやり取りを削減します。困難な質問が最初の提出で直接的な回答を得ると、チームはより速く進みます。ラウンドが少なければ遅延も少なくなります。
規制市場のベンダーにとって、これはすべての取引で重要です。短い審査は短い販売サイクルを意味します。エンタープライズ規模の取引では、その差はすぐに積み上がります。初日に最も困難な質問に答えられるベンダーは、全体を通じて摩擦が少なくなります。
企業の購入者にとって、この組み合わせはより強固なリスク態勢を意味します。顧客データを読めず、監査済みの組織コントロールを持つベンダーは、セキュリティへのコミットメントの明確な証拠を提供します。FAQハブで詳細をご確認ください。