「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書について

ITサプライチェーン^(*1)において、例えば標的型攻撃などのインシデントが発生した場合、関係する複数組織への被害拡大の懸念、および原因究明の難しさがかねてより指摘されています。

そこで、IPAでは2017年度に委託元、委託先間の情報セキュリティに関する取り決めの実態調査を行いました。その結果、責任範囲が不明確であることが明らかになりました。

これを受け、2018年度は責任範囲が明確にできない原因を明らかにし、対策を導き出すための調査を実施しました。調査で明らかになったのは、特に新たな脅威（脆弱性等）について文書で責任範囲を明確にできていないこと、責任範囲が明確にできない理由として多かったのは、委託元の知識・スキル不足、継続契約のため責任範囲を見直す機会がないということでした。また、責任範囲を明確にするには、契約関連文書の見直しが、委託元、委託先にとっても有効であるということも分かりました。

調査の概要と明らかになった調査結果のポイントは次のとおりです。

その他、主な調査項目等に関する詳細は調査報告書のp.3をご参照ください。

1．「新たな脅威が顕在化した際の対応」について責任範囲の明記がない割合は8割

IT業務委託契約時に、委託元が契約関連文書で明確にしているセキュリティに係る要求事項（責任範囲）を調査したところ、「新たな脅威（脆弱性等）が顕在化した場合の情報共有・対応」が20.1%で最も低く、8割は記載していないことが分かった。またインシデントが発生した場合の対応も6割強は記載しておらず、このような委託元はインシデント発生時に迅速な対応が難しく、被害拡大、復旧遅延の可能性がある。

図1：委託元が文書で明確にしているセキュリティに係る要求事項（委託元調査）

2．責任範囲を明確に出来ない理由は知識・スキル不足が最多で79.6%

責任範囲が明確に出来ない理由として、「専門知識・スキルが不足している」について「強くそう思う」（28.3%）と「ややそう思う」（51.3%）を合わせると79.6%が不足していると答えている。

図2：委託元が責任範囲を明確に出来ない理由（委託元調査）

3．IT業務委託契約においてリスク低減を目的に複数の対策を実施

IT業務託契約時に、委託元からのセキュリティに係る要求事項（責任範囲）に不明瞭な部分が残ってしまう場合に、委託先がなんらかの対策を行っているかを調査したところ、主に、自組織内でリスクを低減するための対策を実施していた。

図3：委託先が実施している対策（複数回答）（委託先調査）

4．IT業務委託契約時に責任範囲を記述している文書は“契約書”が最多

情報セキュリティに係る要求事項（責任範囲）をどんな契約内容文書に記載しているかを調査したところ、最も多いのは契約書であり、回答した委託元企業の96.5%で用いられていた。

図4：委託元がセキュリティに係る要求事項を記載した文書（複数回答）（委託元調査）

5．責任範囲を明確にするには“契約関連文書の雛形の見直し”が最も有効

図5：責任範囲を明確にするために有効な施策（複数回答）（委託元調査）

アンケート調査から、多くの組織で契約書が利用されていますが、責任範囲については記載される項目が不十分であることが分かりました。また、責任範囲を明確にするためには契約関連文書の雛形の見直しが有効であることもわかりました。しかし、ヒアリングした企業からは、契約書の雛形や契約書の内容の見直しは、社内手続きや取引先との調整に労力を必要とするため、容易ではないとの意見もありました。

他方、2017年5月に民法が改正され^(*3)「瑕疵担保責任」が「契約不適合責任^(*4)」に変更されました。これにより、契約時における契約内容の明確化がより一層求められるようになります。そのため、企業・組織では2020年4月の改正民法の施行を見据えた、雛形を含む契約関連文書の見直しが急がれています。これを見直しの機会と考え、情報セキュリティに関する要求事項についても修正、追加の必要がないかを検討をされることが望ましいと思われます。

IPAでは、今後ITサプライチェーンの情報セキュリティ対策の状況把握や対策実施の推進に向けて、関連する調査・分析を行っていきます。