HOMEIPAについて新着情報プレス発表 「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書を公開

本文を印刷する

IPAについて

プレス発表 「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書を公開

~実施すべき情報セキュリティ対策を仕様書等で委託先に明示できていない実態が明らかに~

2018年3月26日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:富田達夫)は、ITシステム・サービス等の業務委託先などにおけるセキュリティリスクが看過できない課題となっていることから、「ITサプライチェーン(*1)の業務委託におけるセキュリティインシデント及びマネジメントに関する調査」を実施し、報告書を公開しました。

 URL:https://www.ipa.go.jp/security/fy29/reports/scrm/index.html

 近年、ウイルス感染や不正アクセスなどにより、ウェブサイトの運営委託先から大量の個人情報が漏洩した、というような報道を目にすることは珍しいものではなくなりました。
 このようなITサプライチェーン上のインシデントの影響は、直接の被害組織だけでなく、複数の関係者に影響を及ぼす可能性があり、看過できない課題となっています。

 そこで、IPAでは、ITサプライチェーンにおける対策状況、およびインシデント発生事例などについて調査を行い、「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」として公表しました。調査で明らかになったのは、情報セキュリティについて何をどのように依頼すればよいのかわからない委託元が多い、また契約上の責任範囲が明確にされていない、というものでした。

1.情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を仕様書等で委託先に明示していない。特に、製造業では71.1%、卸売・小売業で74.2%が明記しておらず、顕著。

2.委託契約における情報セキュリティ上の責任範囲(責任分界点)がわからないと回答する割合が、委託元、委託先とも最多。


 なお、2017年11月16日に経済産業省が公開した“サイバーセキュリティ経営ガイドラインVer. 2.0”には、経営者が認識すべき3原則が示されており、うち1つに「自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」とあります。

 IPAでは、調査結果やガイドラインの内容を受け、今後ITサプライチェーンの業務委託におけるセキュリティ対策の状況把握や対策実施が推進されるよう、関連する調査・分析を予定しています。


調査概要

(1) 調査方法・対象 文献調査:インシデント事例(*2)の収集(52件)と契約実務、紛争事例、基準、ガイドライン等の調査
アンケート調査:ユーザ企業(*3)499社、ITシステム・サービス提供企業620社(*4)
インタビュー調査:国内外ユーザ企業、IT企業、有識者10者(組織)
(2) 調査期間 2017年10月~2018年2月
その他、主な調査項目等に関する詳細は報告書のP3をご参照ください。

脚注

(*1) ITシステム・サービスに関する業務を系列企業やビジネスパートナーなどに外部委託し、その委託が連鎖する形態。

(*2) 2012年10月から2017年10月に公開された事例

(*3) 総務省「経済センサス」の日本標準産業分類に基づく従業員規模毎・業種毎の企業数分布に層別抽出(比例割当法)

(*4) ユーザ企業は従業員数50人以上、ITシステム・サービス提供企業は20人以上を対象とした。

プレスリリースのダウンロード

資料のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 小山/小川

Tel: 03-5978-7530 Fax: 03-5978-7514 E-mail: 電話番号:03-5978-7530までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。