サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

IPA調査報告から見える、日本の「ITサプライチェーン管理」の実態



年金機構の個人情報委託業者が無断再委託をしていた事件発生直後の3月26日、情報処理推進機構(IPA)から興味深い調査報告が発表されました。

その名も「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」。長い名前ですけども…今回はこちらについて解説します。

約1割の企業が「再委託先でのインシデント発生」を経験

まず、目を引く情報が「再委託先でのインシデント(事件)発生」です。

アンケート調査によれば、再委託先でのインシデント発生は約1割。マイナスイメージのある回答内容ですから、無記名とはいえ、正直に答えていない可能性もあるでしょう。それでも約1割の委託先で、再委託先での問題が起きていると回答しているのです。

年金機構の事件は氷山の一角でしかないのでしょう。業務委託をする側は「再委託の有無」とその「管理体制」について、真剣に考えなければなりません。「再委託禁止条項を入れればいいや」ということにならないのは、今回の年金機構の事件を見れば明白です

具体的なセキュリティ対策を指定していないケースが7割

次に、委託先に「どんなセキュリティ対策を指示しているか」との設問についてです。なんと7割近くの企業が「具体的なセキュリティ対策を指定していない」との回答になりました。

「情報セキュリティ対策に取り組むこと」とか「プライバシーマークの取得」とかの指示内容なのでしょう。具体的に「〇〇をすること」という指定にはなっていないのです。

セキュリティ対策の具体的指示をするためには、新しいインシデントなども加味しながら小まめに指定内容も見直さなければなりません。それには当然、情報収集と人材確保が必要となります。そのあたりも対策指定に至らない要因なのでしょう。

「責任範囲の切り分け」も行われていない

さらに、約半数の企業で責任範囲が明確になっていないとの回答がありました。つまり、事件が発生した場合に、委託元と委託先のどちらの責任範囲で起きたことなのか、決められないということなのです。

委託先の責任にされかねない

これは特に委託先において注意しなければならないでしょう。どちらの責任か明確になっていない部分が原因で事件が発生した場合、おそらく委託先の責任にされるでしょうから。自分の身を守るためにも、仕事を受ける側は「自分の責任で実施すること」を明確にできるよう、準備しておくべきでしょう。

委託元でも注意が必要

もっとも、委託元についても意識することは必要です。例えばクラウドサービスで障害が発生した場合の機会損失について、或いはオペミスによるデータ喪失について、どう認識していますか?

多くのクラウドサービスの契約・規約では、たとえ過失を認めたとしても、損害額の全額を賠償するとはしていません。

契約・規約をチェックする際は、「この条項が入っているか」ではなく、「こういう事件は発生したらどうなるか」の考え方で見て行くようにしましょう。

サプライチェーン管理ができていない日本企業

ところで、このアンケートの対象企業は、ごく小さい企業を含んでいません。委託元は従業員50人以上、委託先IT企業は従業員20人以上となっています。

それなりの企業にアンケートを取っているのにこの数字なのです。それより小さい企業を含めたら、もっと悪い数字になっていくでしょう。これが日本のITサプライチェーン管理の実態です。

サプライチェーンマネジメントの重要性

「サイバーセキュリティ経営ガイドライン」や「重要インフラの情報セキュリティ対策に係る第4次行動計画」等で“サプライチェーンマネジメント”を煩わしいほど強調しているのは、こういう背景があるからなのですね。

前回のコラムでも、「自分のところは本当に大丈夫なのか」と意識する必要を述べさせていただきましたが、このアンケート調査を見て、再確認していただきたいと思います。

参照ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査/情報処理推進機構



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。