ポスト
補足(続き) ⑨→サプライチェーンリスクへの対処のこと。リスクは以下2種類がある A. OSSライブラリ等に不正コードが入れられて情報漏洩などが起きるリスク B. 委託先や利用するSaaS企業の不備で情報漏洩 Aは、不正ソースコードや脆弱性管理、改ざん検知などのツールを入れるか自作して対処
メニューを開くみんなのコメント
メニューを開く
補足(続き) Bの対処は、更に分岐。 委託先: 監査実施できる契約なら定期監査。 グループ会社などで自社と同じセキュリティを適用できるならそれがベスト SaaS: だいたい監査が困難なので、利用用途に見合ったセキュリティ対策がされているかを評価(契約更新時に見直し) SOC2 type2あると安心
