Suggested region and language based on your location

    Your current region and language

    デスクに座ってエンジニアに相談しているアジアの科学者
    • ブログ
      デジタルトラスト

    サプライヤーとしてのGovAssureへの対応

    GovAssureは政府のサプライヤーにも適用されますか?

    前回のブログ、GovAssureと英国のサイバーセキュリティ戦略では、GovAssureの基本を説明し、可能な限り効率的にプロセスを完了するための推奨事項を提供しました。以下は、質疑応答です。GovAssureは政府のサプライヤーにも適用されますか?

    サプライヤーはGovAssureに準拠しなければなりませんか?

    サプライヤーはGovAssureに従う必要はありませんが、政府顧客のコンプライアンスをサポートする必要があります。その詳細は、提供されるサービスによってことなります。サプライヤーサービスの分析を実施することは、政府組織が、適用される管理と結果を特定するのに役立ちます。

    以下は、国家サイバーセキュリティーセンター(NCSC)のサイバーアセスメントフレームワーク(CAF)の再確認であり、GovAssureは公共部門のレジリエンス能力を評価するためにこれを使用しています(フレームワークの使用方法を総合的に理解するには、GovAssureおよび英国サイバーセキュリティ戦略を参照)。

    一部のサプライヤーは、特定の目的と原則に直接責任を負います。たとえば、サプライヤーが、アウトソーシングされたセキュリティオペレーションセンター(SOC)を運営する場合、SOCの活動は目的C(サイバーセキュリティインシデントの検知)原則に準拠しなければなりません(下図参照)。

    しかし、ベンダーはすべての原則に対応する必要はありません。たとえば、原則A1(ガバナンス)の要件は適用されない可能性が高いです。組織がガバナンスとリスク管理を対象とするプロセスを備えるとは重要ですが、組織はGovAssureの顧客に対してその証拠を提供する必要はありません。

    準備

    ある時点で、政府系サプライヤーはその管理体制やサービスについて尋ねられます。万全を期すためには、サプライヤーが事前に、独自に検証済みの標準化されたコンプライアンス声明を先を見越して作成することが賢明です。クラウドプロバイダーは同様の方法を用いて、個別の契約を結ぶことなく、複数の顧客に保証を提供しています。

    サプライヤーとして、GovAssureに備えるために以下のステップを踏む必要があります。

    • 政府顧客を特定する。
    • 政府顧客に提供しているサービスを見直す。
    • これらのサービスと活動をCAFの目的と原則に対応させる。
    • 各原則について、これらの政府顧客のすべてまたは大部分に当てはまる回答を明確にする。
    • 顧客に働きかけ、前もって定めた明確な回答を提供する。
    • 顧客と協力して、対象範囲とみなされる特定のシステムに関する証拠要件を特定する。
    • 必要であれば、顧客をサポートするために外部の評価者と連携する。

    このプロセスで重要なのは、社内外の利害関係者を適切に特定し、クライアントをサポートするためのリソースがすぐに利用できるようにすることです。

    • システムが完全にアウトソーシングされている場合(たとえば、サービスとしてのソフトウェア(SaaS)アプリケーション)、データは依然として顧客の責任であり、目的A(セキュリティリスクの管理)の質問に答える必要があります。ただし、顧客はサプライヤーの内部プロセスについても尋ねる場合があります。こういった分野の回答を用意しておくと役立つでしょう。
    • 同様に、原則B1(サービス保護ポリシーおよびプロセス)については、これは政府省庁の責任です。ただし、サプライヤーは、特にシステムセキュリティに影響する場合、ポリシーがどのように理解され、適用されているかについてコメントすることが期待されます。
    • 原則B6(認識と研修)では、サプライヤーは優れたセキュリティ文化と認識を持ち、研修を実施することが期待されます。直接的には適用されませんが、一部の顧客は、対象範囲内のシステムやデータにアクセスできるサプライヤースタッフに関して、これを求める場合があります。
    • 目的D(サイバーセキュリティインシデントの影響を最小化する)については、対応と復旧の計画は政府部門が行う必要がありますが、サプライヤーも問題を検知し、最初の対応者となる可能性が高いため、関与する必要があります。

    政府部門はサプライヤーとの関わりを証明する必要があるため、特にSOC活動、モニタリング、サードラインサポートに大きく関与している場合は、証拠の提出を求められる可能性があります。

    BSIのGovAssureホワイトペーパーを読み、このスキームの詳細を学びましょう。Isabelの洞察については、GovAssureと英国サイバーセキュリティ戦略をお読みください。BSIのデジタルトラストコンサルティング、プラクティスディレクター、Stephen Scottによる侵害レジリエンスを戦略的に構築するで、組織の防御能力を強化する方法について詳しく学んでください。さらに詳しい洞察については、BSIのExperts Cornerにアクセスし、Experts Corner-2-Goニュースレターに登録してください。