セキュリティについて監査されるのは一般的ですが、監査結果へのアクセスは許可されませんか?
それはいつ意味がありますか、またはあなたのソフトウェアを使用する大企業と取引するときにセキュリティ監査の結果/レポートへのアクセスを与えられないことが一般的ですか?
セキュリティギャップに関するドキュメントを共有することのメリットをどのように主張できますか?また、この情報の開示を怠るリスクは何ですか?
架空のシナリオ:
会社MediumSizedSoftwareCorpは、最近、顧客の1人であるSuperGiantMegaCorpから、MediumSizedSoftwareCorp'sプラットフォーム(使用している)のセキュリティ監査を実施するように依頼されました。
監査は、セキュリティおよびコンプライアンスチーム(SuperGiantMegaCorp)によって比較的秘密裏に実施され、MediumSizedSoftwareCorpのマネージャーは、ソフトウェアプラットフォームが監査に「失敗」したことを通知されました。セキュリティの問題が将来の契約の成長を妨げる恐れがあるため、マネージャーはどちらの会社も混乱しています。
MediumSizedSoftwareCorpのエンジニアは、セキュリティの問題を必死に解決したいと考えていますが、SuperGiantMegaCorpは電話でのみ脆弱性について話し合い、詳細は省略し、漠然とした一般的な用語でのみ話し合います。これをさらに複雑にしているのは、SuperGiantMegaCorpの監査人が、ドキュメントの「機密性の高い」性質のために、詳細な監査レポートドキュメントの共有を拒否しているという事実です。
このシナリオは、セキュリティのギャップを埋めるのとは正反対のようです。透明性と協力はより良い選択肢のように思えますが、これについて証拠に基づいた事例をどのように構築するのでしょうか。
実際、あなたが説明する状況は、メガコープ監査によって発見された脆弱性の迅速な解決には役立ちません。ただし、それがポイントではない場合があることに注意してください。監査の本当の目的がセキュリティ上の欠陥を修正することであるとしても、メガコーポレーションが詳細を共有できないいくつかの理由があります。
セキュリティ監査には、セキュリティホールの修正以外にどのような目的がありますか?さて、あなたの契約を読んで、みんなの動機について考えてください。他の人が言っているように、契約上または政治上の動機があるかもしれません。頭のてっぺんから:
- Mega Corpは、あなたの契約、または他の誰かとの契約を破るか、再交渉したいと思うかもしれません。彼らは監査をレバレッジとして使用しています。
- Mega Corpは自社製品のリスク評価を行っており、彼らはあなたのソフトウェアが彼らのビジネスにどのようなリスクをもたらすのかを理解したいだけです。
- Mega Corpは、定期的な監査を行う必要があるという規則または規制に従っており、それが彼らが行うことを決定したすべてです。
- Mega Corpは、潜在的に損害を与える脆弱性を文書化した紙の証跡を開始したくない、または紙の証跡が物理的な制御を離れることを望んでいません。
- 分類された/管理された環境から分類されていない/管理されていない環境への情報の共有が法的に禁止されている(または法的に懸念されている)場合があります。
彼らは、特定の脆弱性も共有しないという正当なセキュリティ上の理由があると感じるかもしれません。
- 彼らはあなたの会社を信用しないかもしれません、そしてあなたに特定のテストケースのリストを与えることは彼らが過去にどんな種類の問題を抱えていたか、そして彼らが将来彼らにとって問題になると彼らが予測する問題についてあなたに多くを教えてくれます。
- 彼らは、見つけたバグを修正するだけでなく、より包括的なレビューを行うことを望んでいる可能性があります。入力検証で文字列X、Y、Zをスリップできると言われた場合は、それらの特定のケースを修正したくなるでしょう。入力検証がくだらないことであり、それを修正しないと契約が失われると彼らが言った場合、あなたの会社はソフトウェア全体を上から下まで非常に注意深く調べます。
他の人が言ったことは、これはビジネス上の問題であり、技術的な問題ではありません。 MegaCo paidが監査であり、その情報をあなたと共有する理由がないという事実と同じくらい簡単かもしれません。解決策might MegaCoの監査を誰が行ったかを尋ねるのと同じくらい簡単で、自分で監査に雇うことができるかどうかを確認します。