ITサプライチェーン(*1)において、例えば標的型攻撃などのインシデントが発生した場合、関係する複数組織への被害拡大の懸念、および原因究明の難しさがかねてより指摘されています。
そこで、IPAでは2017年度に委託元、委託先間の情報セキュリティに関する取り決めの実態調査を行いました。その結果、責任範囲が不明確であることが明らかになりました。
これを受け、2018年度は責任範囲が明確にできない原因を明らかにし、対策を導き出すための調査を実施しました。調査で明らかになったのは、特に新たな脅威(脆弱性等)について文書で責任範囲を明確にできていないこと、責任範囲が明確にできない理由として多かったのは、委託元の知識・スキル不足、継続契約のため責任範囲を見直す機会がないということでした。また、責任範囲を明確にするには、契約関連文書の見直しが、委託元、委託先にとっても有効であるということも分かりました。
調査の概要と明らかになった調査結果のポイントは次のとおりです。