情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. プラクティス5-3 ITサービスの委託におけるセキュリティ対策を契約と第三者検証で担保

プラクティス5-3 ITサービスの委託におけるセキュリティ対策を契約と第三者検証で担保

公開日:2026年4月28日

背景

人口40万人規模の県庁所在地で資格取得支援や生涯学習サービスを提供しているJ社(従業員数200名規模)は、従来からの教室での座学型の講習に加え、eラーニングシステムを用いて自宅で遠隔受講できる講習を併用することで、受講者のニーズに対応している。eラーニングシステムにはクラウドベースの商用アプリケーションを利用しているが、教室受講の予約システムはオープンソースソフトウェア(OSS)を地元のITベンダがカスタマイズしたものを利用しており、これらJ社が教育サービスで用いるITシステムすべての運用を同じITベンダに委託している。3年前、ある受講生より「予約システム利用時、ブラウザ上でURLを編集すると他人の受講状況や成績が閲覧できてしまう」との連絡があり、同システムで用いているOSSのパッチ未適用に由来する脆弱性が存在することが明らかになった。J社は社長名で受講生全員にお詫びの連絡をするとともに、再発防止推進チームのリーダーとして、同社の法務・コンプライアンス担当からCRO(Chief Risk Officer)を任命し、同CROが対策を進めることとなった。

J社の実践のステップ

J社のCROが実践したステップは下記3点である。

  1. J社で用いるITシステムが今後満たすべきセキュリティ要件の策定
  2. セキュリティ要件と第三者検証に関するITベンダとの調整
  3. ITベンダとの合意内容の契約書への反映

J社の実践内容

社長から指示を受けたCROは現状把握を行い、J社で用いている情報システムのセキュリティ対策は実質的にITベンダに一任の状態であることを確認した。ITベンダが外部のセキュリティサービス事業者に委託した脆弱性診断により、教室受講予約システムに脆弱性が残っていないことは確認されたが、J社の社長は今後の運用において実施すべきセキュリティ対策はJ社から示すべきと考え、CROに対応を求めた。

J社ではこれまでセキュリティ要件定義の経験がなく、CROもITに詳しくないこともあって、何を書けばよいのかの見当がつかなかった。そのような折り、J社のIT資格受験講座の講師をリモートで担当している方に相談したところ、以下のアドバイスを受けた。

  • J社が要求すべきセキュリティ対策は特殊なものではないので、公表されている既存のものを示せばよい
  • 運用フェーズでの要求事項については
    ITベンダの体力上の制約等もあり、一方的に要求するのではなく自社の体制も改善しつつ、両者での調整で合意点を見いだすのがよい

このアドバイスをもとに、CROは次のようなセキュリティ要件定義を考えた。このうち、運用フェーズにおけるセキュリティ要件はデジタル庁のガイドライン(「参考情報」参照)を参考に策定したものである。

表2-5.4 J社にて検討したセキュリティ要件
フェーズ  セキュリティ要件の規定内容(甲=J社、乙=ITベンダ)
開発(カスタマイズを含む)  -甲が開発又はカスタマイズを担当した部分を含むソフトウェアについて、IPAの「ECサイト構築・運用セキュリティガイドライン」記載の「ECサイトの構築時におけるセキュリティ対策要件」のうち、「必須」「必要」の内容を満たすこと
運用  -以下の項目について、乙より対処計画を示し、甲の承認を得ること
-通常時のセキュリティ運用
-構成管理、変更管理
-セキュリティ監視時のアラート等への対応
-脆弱性情報の収集と、当該システムへの影響分析
-CVSS等に基づくリスクに応じた脆弱性対応
-別途実施する脆弱性診断結果への対応
-非常時のセキュリティ運用
-インシデント対応

J社のCROは、システムの脆弱性診断についてはITベンダが納品時に行うものとは別に、第三者検証として別のセキュリティベンダに委託することで客観的な結果を得ることとした。これをもとにITベンダとの交渉に臨んだところ、運用フェーズにおける対処計画に示す内容の完全実施の保証を行うことは困難だが、目標とすることを許容してもらえるならば可能との回答を得た。J社としてもITベンダの規模や体制を考えると直ちに完全実施を求めるのは現実的ではないと考え、しばらくの間は目標として運用することを許容することとした。

以後2年間運用はトラブルなく推移し、その間にITベンダで体制を強化したこともあり、対処計画について運用委託契約におけるSLA(サービルレベルアグリーメント)として規定することで両者が合意した。

参考情報

  1. ECサイト構築・運用セキュリティガイドライン(IPA)
    • ECサイトを構築・運営している中小企業の経営者とセキュリティ実務担当者向けに、ECサイトの構築・運営において心がけるべきことや検討・実施すべきセキュリティ要件について説明している。
  2. 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン(デジタル庁)
    • システムライフサイクルにおけるセキュリティ対策を俯瞰的にとらえるため、各工程でのセキュリティ実施内容、要求事項を記載するとともに、関係者の役割を定義するもの。デジタル庁にて策定・更新している。
  3. Webシステム/Webアプリケーションセキュリティ要件書(ISOG-J+OWASP Japan)
    • 日本セキュリティオペレーション事業者協議会とOWASP Japanの共同による「脆弱性診断士スキルマッププロジェクト」で策定している、安全なWebアプリケーションの開発に必要なセキュリティ要件書の策定例。
前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開