アーカイブ

「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書について

掲載日 2019年4月19日
最終更新日 2020年4月27日
独立行政法人 情報処理推進機構
セキュリティセンター

ITサプライチェーン(*1)において、例えば標的型攻撃などのインシデントが発生した場合、関係する複数組織への被害拡大の懸念、および原因究明の難しさがかねてより指摘されています。

そこで、IPAでは2017年度に委託元、委託先間の情報セキュリティに関する取り決めの実態調査を行いました。その結果、責任範囲が不明確であることが明らかになりました。

これを受け、2018年度は責任範囲が明確にできない原因を明らかにし、対策を導き出すための調査を実施しました。調査で明らかになったのは、特に新たな脅威(脆弱性等)について文書で責任範囲を明確にできていないこと、責任範囲が明確にできない理由として多かったのは、委託元の知識・スキル不足、継続契約のため責任範囲を見直す機会がないということでした。また、責任範囲を明確にするには、契約関連文書の見直しが、委託元、委託先にとっても有効であるということも分かりました。

調査の概要と明らかになった調査結果のポイントは次のとおりです。

調査の概要

(1)調査方法・対象 アンケート調査: ユーザ企業417社、ITシステム・サービス提供企業428社(*2)
事例調査: ヒアリング 国内ユーザ企業、IT企業、有識者 計10者
文献調査 34件
(2)調査期間 2018年10月~2019年2月

その他、主な調査項目等に関する詳細は調査報告書のp.3をご参照ください。

調査結果のポイント

1.「新たな脅威が顕在化した際の対応」について責任範囲の明記がない割合は8割

IT業務委託契約時に、委託元が契約関連文書で明確にしているセキュリティに係る要求事項(責任範囲)を調査したところ、「新たな脅威(脆弱性等)が顕在化した場合の情報共有・対応」が20.1%で最も低く、8割は記載していないことが分かった。またインシデントが発生した場合の対応も6割強は記載しておらず、このような委託元はインシデント発生時に迅速な対応が難しく、被害拡大、復旧遅延の可能性がある。

図1:委託元が文書で明確にしているセキュリティに係る要求事項(委託元調査)
図1:委託元が文書で明確にしているセキュリティに係る要求事項(委託元調査)

2.責任範囲を明確に出来ない理由は知識・スキル不足が最多で79.6%

責任範囲が明確に出来ない理由として、「専門知識・スキルが不足している」について「強くそう思う」(28.3%)と「ややそう思う」(51.3%)を合わせると79.6%が不足していると答えている。

図2:委託元が責任範囲を明確に出来ない理由(委託元調査)
図2:委託元が責任範囲を明確に出来ない理由(委託元調査)

3.IT業務委託契約においてリスク低減を目的に複数の対策を実施

IT業務託契約時に、委託元からのセキュリティに係る要求事項(責任範囲)に不明瞭な部分が残ってしまう場合に、委託先がなんらかの対策を行っているかを調査したところ、主に、自組織内でリスクを低減するための対策を実施していた。

図3:委託先が実施している対策(複数回答)(委託先調査)
図3:委託先が実施している対策(複数回答)(委託先調査)

4.IT業務委託契約時に責任範囲を記述している文書は“契約書”が最多

情報セキュリティに係る要求事項(責任範囲)をどんな契約内容文書に記載しているかを調査したところ、最も多いのは契約書であり、回答した委託元企業の96.5%で用いられていた。

図4:委託元がセキュリティに係る要求事項を記載した文書(複数回答)(委託元調査)
図4:委託元がセキュリティに係る要求事項を記載した文書(複数回答)(委託元調査)

5.責任範囲を明確にするには“契約関連文書の雛形の見直し”が最も有効

図5:責任範囲を明確にするために有効な施策(複数回答)(委託元調査)
図5:責任範囲を明確にするために有効な施策(複数回答)(委託元調査)

アンケート調査から、多くの組織で契約書が利用されていますが、責任範囲については記載される項目が不十分であることが分かりました。また、責任範囲を明確にするためには契約関連文書の雛形の見直しが有効であることもわかりました。しかし、ヒアリングした企業からは、契約書の雛形や契約書の内容の見直しは、社内手続きや取引先との調整に労力を必要とするため、容易ではないとの意見もありました。

他方、2017年5月に民法が改正され(*3)「瑕疵担保責任」が「契約不適合責任(*4)」に変更されました。これにより、契約時における契約内容の明確化がより一層求められるようになります。そのため、企業・組織では2020年4月の改正民法の施行を見据えた、雛形を含む契約関連文書の見直しが急がれています。これを見直しの機会と考え、情報セキュリティに関する要求事項についても修正、追加の必要がないかを検討をされることが望ましいと思われます。

IPAでは、今後ITサプライチェーンの情報セキュリティ対策の状況把握や対策実施の推進に向けて、関連する調査・分析を行っていきます。

調査報告書のダウンロード

プレスリリースのダウンロード

実施者

脚注

(*1)
ITシステム・サービスに関する業務を系列企業やビジネスパートナーなどに外部委託し、その委託が連鎖する形態。
(*2)
ユーザ企業は従業員数50人以上、ITシステム・サービス提供企業は20人以上を対象とした。
(*3)
民法の債権法の規定が改正された。原則的施行日は2020年4月1日。
http://www.moj.go.jp/MINJI/minji06_001070000.html
(*4)
「瑕疵担保責任」が、契約内容に適合しない場合に修補・追完を請求できる。

本件に関するお問い合わせ先

IPA セキュリティセンター セキュリティ対策推進部 小山/小川
TEL:03-5978-7530 FAX:03-5978-7513 E-mail:

更新履歴

2020年4月27日 アンケート回答なしでの調査報告書ダウンロードを開始
2019年4月19日 公開