2021.11.09

業務委託先のセキュリティ管理を行う課題・流れ・ポイント

  • 業務委託先のセキュリティ管理に課題を感じている
  • 業務委託先のセキュリティ管理はどのような流れで行えば良いのか
  • 業務委託先に対するセキュリティ管理を行うポイントを知りたい

システム開発やシステム運用の現場においても、社内だけ完結させず業務委託も取り入れることが当たり前になってきました。


しかし、業務委託先から情報漏えいするなど、ITサプライチェーン上でのセキュリティインシデントは珍しいものではなくなってきました。


ITサプライチェーン上でインシデントが発生すると、広くステークホルダーに影響が出る恐れがあるため、決して看過できません。


しかし、業務委託先においては、情報セキュリティについて契約上の責任範囲が明確にされていないなどの現状があります。


本記事では、業務委託先のセキュリティ管理を行う流れと、セキュリティ管理を行うポイントを紹介します。


参考:「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」 情報処理推進機構

STC診断

業務委託先のセキュリティ管理が課題に

時代が大きく変化し、企業組織のあり方も変わってきました。

昨今では、システム開発やシステム運用の現場においても社内だけで完結させず、業務委託も取り入れることが当たり前になってきました。

業務委託をうまく活用できれば、組織に可用性を持たせることが可能になります。ただ、便利な反面、セキュリティについては注意が必要です。

システム開発やシステム運用の現場において業務委託を行うことには、セキュリティ上以下の課題が存在します。

  • 社内のセキュリティレベルの徹底
  • 業務委託先と社内におけるセキュリティ基準の違い
  • 業務委託の管理が案件ごとにされており、リスク状況がわかりづらい
  • 業務委託先のセキュリティ対策の実態を把握できていない
  • 業務委託先を管理する部署の役割と責任があいまい

これらは、いずれも業務委託によりセキュリティインシデントに至る原因になりえます。

以上より、業務委託先のセキュリティ管理がますます課題になっていると言えます。

業務委託先のセキュリティ管理を行う流れ

ここでは、業務委託先のセキュリティ管理を行う流れを以下の順に紹介します。

  • 業務委託先セキュリティ管理の方法を決定
  • 業務委託先一覧の作成
  • 業務委託先の状況把握
  • 業務委託先の評価に応じた対応依頼

業務委託先セキュリティ管理の方法を決定

業務委託先のセキュリティ管理を行う流れの1つ目は、業務委託先セキュリティ管理の方法を決定することです。

業務委託先管理の方法はルール化します。

特に大切なことは、情報のやり取りのレベルに合わせて、業務委託先の評価基準を設けることです。

PマークやIMISなどの第三者認証を取得しているかどうかが、代表的な評価基準の1つです。それに限らず、どの程度基準を満たせば合格か事前に設定しておきましょう。

業務委託先一覧の作成

業務委託先のセキュリティ管理を行う流れの2つ目は、業務委託先一覧の作成です。

エクセルなどのツールだけでなく、クラウドサービスを用いて業務委託先一覧を作成する企業も増えてきています。

業務委託先一覧に記載すべき項目の一例を、以下に紹介します。

  • 業務委託先の企業名
  • 業務委託先の業務内容
  • 業務委託先が使用しているツール
  • 業務委託先評価の合否結果
  • 業務委託先に求めるセキュリティ対策

業務委託先の状況把握

業務委託先のセキュリティ管理を行う流れの3つ目は、業務委託先の状況把握です。

業務委託先に評価アンケートや実地監査などを行って、状況把握します。多くの場合、評価アンケートで業務委託先から申告してもらうことになります。

評価アンケートでは、事前に社内の業務委託先評価基準を設定しておき、それと照らし合わせて評価を行います。

この時、評価基準やアンケート項目は画一的である必要はありません。

また、 PマークやIMISなどの第三者認証の有無や、業務委託先のセキュリティポリシーを確認しても良いでしょう。

業務委託先の評価に応じた対応依頼

業務委託先のセキュリティ管理を行う流れの4つ目は、業務委託先の評価に応じた対応依頼です。

社内の基準に沿わない実態があっても、業務委託先を変更しなければならないとは限りません。まずは改善を依頼して、状況に応じては業務の継続を再検討しましょう。

また、基本的にNDA(秘密保持契約)の締結は必須です。

それに加えて、取扱情報レベルによっては、セキュリティ対応と報告をコミットする条項を盛り込んだ契約書を作成すると良いでしょう。

業務委託先に対するセキュリティ管理を行う3つのポイント

ここでは、業務委託先に対するセキュリティ管理を行う3つのポイントを以下の順に紹介します。

  • 自社の実態に合ったセキュリティ基準を策定
  • 柔軟な評価基準の見直し
  • 定期的な委託先評価の実施

自社の実態に合ったセキュリティ基準を策定

業務委託先に対するセキュリティ管理を行うポイントの1つ目は、自社の実態に合ったセキュリティ基準を策定することです。

企業によって状況が違うため、他社が使っている基準をそのまま自社で転用するべきではありません。

リスク評価を適切に行わないまま対策基準を設けても、本当に対策すべきリスクが放置され、大きな被害が発生する恐れがあります。

そのようなことがないよう、全社的にリスク管理を担う部署が十分にリスク分析を行った上で、全社で統一的な対策基準を整備して、定期的に更新していくことが理想です。

現場部門は全社で定めた対策基準を利用することで、より適切にリスクに対処できるはずです。

ただ、同じ業務委託先でも、部門によって取り扱う情報の重要度や業務の特性が違う時には注意が必要です。

そのため、委託業務の内容や取り扱う情報の重要度分類などの整理をして、それぞれのケースで求める基準を設定することも必要です。

また、対策基準を用いて評価する時には、必要に応じて代替策を検討することも必要かもしれません。

柔軟な評価基準の見直し

業務委託先に対するセキュリティ管理を行うポイントの2つ目は、柔軟な評価基準の見直しです。

「確認の観点」については、他社のインシデント状況など、セキュリティ対策のトレンド状況も組み込んで定期的に評価基準を更新していくことが必要です。

この時、「どのような対策をしているのか?」、そして「どのような条件を満たしていれば問題ないのか?」を明確にして評価基準を定めることがポイントです。

フォローアップ体制については、全社組織と現場部門における委託先管理をするための「役割」を明確にすることがポイントです。

全社組織と現場部門、それぞれの特性やリソースの状況を理解した上で協力しあうことで、効率的に業務委託先の管理を実現できます。

このように、全社で統一的な「確認の観点」や「フォローアップ体制」を構築することで、各部門はリスクとなりうる状況を適切に評価して、改善していけます。

定期的な委託先評価の実施

業務委託先に対するセキュリティ管理を行うポイントの3つ目は、定期的な委託先評価の実施です。

毎年業務委託先を評価するなど、PDCAサイクルを回して、委託先のセキュリティ管理状況を定期的にアップデートしていくことは重要なことです。

なぜなら、ウイルスなどの攻撃手法は日々進化しており、定期的にアップデートしないと新しいリスクに対応できないからです。

適切に情報セキュリティリスクを低減し、その状態を維持していくには、「定期的な確認」が重要になります。

ただ、運用が大変で定期的な確認が行えない企業もあります。その場合、確認の効率化が有効な解決手段の1つです。

例えば、全社で回答が同じと想定される項目は全社組織で確認を行うと、確認をより効率化できるでしょう。

このように、冗長な部分を省略すると、現場部門や業務委託先企業の負荷を下げることができます。

まとめ

本記事では、業務委託先のセキュリティ管理を行う流れと、セキュリティ管理を行うポイントを紹介しました。

業務委託先のセキュリティは、定期的に評価し直すのがベターです。新たなセキュリティリスクへの対応や対策の導入も可能となります。

また、効果的な委託先管理の仕組みを構築するには、各社の成功事例を収集しながら、さまざまな状況を想定して管理方法を模索していくことが大切です。

なお、弊社では自社のセキュリティ状況やテレワーク環境、コミュニケーション環境を簡単に把握できる「STC診断」をオンラインで無料公開しています。よろしければ、以下よりお試しください。