IPA調査報告から見える、日本の「ITサプライチェーン管理」の実態

[更新]
IPA調査報告から見える、日本の「ITサプライチェーン管理」の実態



年金機構の個人情報委託業者が無断再委託をしていた事件発生直後の3月26日、情報処理推進機構(IPA)から興味深い調査報告が発表されました。

その名も「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」。長い名前ですけども…今回はこちらについて解説します。

関連日本年金機構の海外企業再委託事件から考える、形だけの再委託禁止条項

約1割の企業が「再委託先でのインシデント発生」を経験

まず、目を引く情報が「再委託先でのインシデント(事件)発生」です。

アンケート調査によれば、再委託先でのインシデント発生は約1割。マイナスイメージのある回答内容ですから、無記名とはいえ、正直に答えていない可能性もあるでしょう。それでも約1割の委託先で、再委託先での問題が起きていると回答しているのです。

年金機構の事件は氷山の一角でしかないのでしょう。業務委託をする側は「再委託の有無」とその「管理体制」について、真剣に考えなければなりません。「再委託禁止条項を入れればいいや」ということにならないのは、今回の年金機構の事件を見れば明白です

具体的なセキュリティ対策を指定していないケースが7割

次に、委託先に「どんなセキュリティ対策を指示しているか」との設問についてです。なんと7割近くの企業が「具体的なセキュリティ対策を指定していない」との回答になりました。

「情報セキュリティ対策に取り組むこと」とか「プライバシーマークの取得」とかの指示内容なのでしょう。具体的に「〇〇をすること」という指定にはなっていないのです。

セキュリティ対策の具体的指示をするためには、新しいインシデントなども加味しながら小まめに指定内容も見直さなければなりません。それには当然、情報収集と人材確保が必要となります。そのあたりも対策指定に至らない要因なのでしょう。

「責任範囲の切り分け」も行われていない

さらに、約半数の企業で責任範囲が明確になっていないとの回答がありました。つまり、事件が発生した場合に、委託元と委託先のどちらの責任範囲で起きたことなのか、決められないということなのです。

委託先の責任にされかねない

これは特に委託先において注意しなければならないでしょう。どちらの責任か明確になっていない部分が原因で事件が発生した場合、おそらく委託先の責任にされるでしょうから。自分の身を守るためにも、仕事を受ける側は「自分の責任で実施すること」を明確にできるよう、準備しておくべきでしょう。

委託元でも注意が必要

もっとも、委託元についても意識することは必要です。例えばクラウドサービスで障害が発生した場合の機会損失について、或いはオペミスによるデータ喪失について、どう認識していますか?

多くのクラウドサービスの契約・規約では、たとえ過失を認めたとしても、損害額の全額を賠償するとはしていません。

契約・規約をチェックする際は、「この条項が入っているか」ではなく、「こういう事件は発生したらどうなるか」の考え方で見て行くようにしましょう。

サプライチェーン管理ができていない日本企業

ところで、このアンケートの対象企業は、ごく小さい企業を含んでいません。委託元は従業員50人以上、委託先IT企業は従業員20人以上となっています。

それなりの企業にアンケートを取っているのにこの数字なのです。それより小さい企業を含めたら、もっと悪い数字になっていくでしょう。これが日本のITサプライチェーン管理の実態です。

サプライチェーンマネジメントの重要性

「サイバーセキュリティ経営ガイドライン」や「重要インフラの情報セキュリティ対策に係る第4次行動計画」等で“サプライチェーンマネジメント”を煩わしいほど強調しているのは、こういう背景があるからなのですね。

前回のコラムでも、「自分のところは本当に大丈夫なのか」と意識する必要を述べさせていただきましたが、このアンケート調査を見て、再確認していただきたいと思います。

参照ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査/情報処理推進機構

ゼロから始めるセキュリティ対策!
セキュリティチェック25
img_pdf

「セキュリティ対策」はインターネットを利用する全ての企業にとって必須

大企業であればお金をかけてしっかりとした対策に取り組めますが、
そんな予算もない中小企業の方々は、「セキュリティ対策が必要だとわかっていても何をすれば良いかわからない、、、」という方も多いはず。

そんな中小企業の方々、
特に50名以下の企業の社長、IT担当者、総務部担当者の方々は絶対に知っておきたい!自分でできるセキュリティ対策がチェックできるA4サイズ1枚にまとめた25項目のセキュリティチェックシートです。

メルマガ登録で無料ダウンロード!
無料ダウンロードはコチラ
星野靖裕

金融機関にて、融資管理・情報システム開発に従事。経営・現場双方の視点を備え、効果的なマネジメントシステムの構築を指導。人員一桁から数千人の一部上場企業まで幅広くコンサルティングを行う。
  
>プロフィール詳細はこちら

こちらのページもご覧ください。

セキュリティ診断サービス

あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配...
サイバー攻撃されて問題になる前にしっかりチェック!

標的型メール訓練サービス

近年増え続ける標的型攻撃の対策はできてますか?社長だけが大丈夫でも社員全員の意識を上げないと、メールが来たら1/3も...

セキュリティ人材の育成に

今後不足すると言われているセキュリティ人材の確保を早めに対応しませんか?たった2日で学べる集中コース!

情報セキュリティ監査

150,000円のセキュリティ監査!専属担当者の採用は難しいけど、セキュリティが心配...という方必見です。

メルマガ会員登録募集中

中小企業向けセキュリティチェックシートプレゼント!その他特典多数!詳細はこちらをクリック!

「重要インフラにおける情報セキュリティ確保」対策指針第5版について

IPA調査報告から見える、日本の「ITサプライチェーン管理」の実態

成立となるか?「サイバーセキュリティ基本法改正案」について

作者:   法令・計画等