English
情報セキュリティ
プラクティス9-1 サイバーセキュリティリスクのある委託先の特定と対策状況の確認
公開日:2026年4月28日
背景
従業員数3,000名規模の製造業であるV社では、取引先がマルウェアに感染し、ある部品の供給が一時滞った経験を持つ。その際は、在庫で対応でき自社ビジネスに大きな影響はなかったものの、V社は自社のサイバーセキュリティを担当する情報システム部に相談の上、サイバーセキュリティリスクのある取引先/委託先に対して、サイバーセキュリティ対策状況を確認することとした。
V社の実践のステップ
情報システム部長が実践したステップは下記の3点である。
- 委託元部署へのアンケートを通じて、取引先/委託先に対して業務におけるインターネットの利用等、サイバーセキュリティリスクの有無を調査する
- サイバーセキュリティリスクのある取引先/委託先に対して、サイバーセキュリティ対策状況に関するアンケート調査を実施する
- 把握した課題やリスクは一覧化し、経営者に報告するとともに、組織として対応方針を検討する
V社の実践内容
上記のステップに則り、まず情報システム部長は社内の調達に関連する情報が集まる法務部と相談の上、委託元部署へのアンケートを通じて、主要な取引先/委託先の洗い出しとサイバーセキュリティリスクの有無を調査した。
-
表2-9.1 委託元部署へのアンケート表の例
表2-9.1 委託元部署へのアンケート表の例(テキスト版)
インターネット利用が有のABC株式会社と456株式会社がサイバーセキュリティリスク有と判断し、対策状況を確認
|
取引先/委託先名
|
取引/委託元部署
|
取引/委託業務
|
インシデント発生に影響を受ける自社の業務(選択式)
|
委託先の業務環境(選択式)
|
委託業務におけるインターネット利用
|
|---|---|---|---|---|---|
|
株式会社123
|
倉庫管理部
|
商品Aの配送業務
|
商品Aの配送
|
他社と業務環境を共有
|
無
|
|
ABC株式会社
|
総務部
|
コールセンター業務
|
直販商品Bの受注カスタマーからの苦情・相談受付
|
他社と業務環境を共有
|
有
|
|
456株式会社
|
製品部
|
原材料Aの製造
|
商品Aの製造停止
|
自社向けの専用環境
|
有
|
次に、情報システム部長はサイバーセキュリティリスクがあると判断した取引先/委託先に対して、サイバーセキュリティ対策の実施状況を把握するため、アンケート表を送付した。なお、アンケート表作成においては、質問を依頼する委託元部署、並びに回答する取引先/委託先の負荷を考慮し、セキュリティに関するガイドライン(注釈)から主要なポイントを抽出し、必要最低限の質問事項とした。
-
注釈サイバーセキュリティ経営ガイドラインの他、システム管理基準や情報セキュリティ管理基準(経済産業省)も参考にできる。
-
表2-9.2 V社の取引先/委託先へのアンケート表の例
表2-9.2 V社の取引先/委託先へのアンケート表の例(テキスト版)
|
分類
|
質問事項
|
対策状況(有/無)
|
具体的な対策の実施内容(自由記入欄)
|
|---|---|---|---|
|
セキュリティ管理体制
|
セキュリティポリシーは策定していますか
|
|
|
|
委託業務におけるセキュリティ管理体制はありますか
|
|
|
|
|
委託業務に従事する担当者に対してセキュリティ教育は実施していますか
|
|
|
|
|
(再委託がある場合のみ回答)再委託先のセキュリティ対策状況は把握してますか
|
|
|
|
|
外部攻撃に対する対策
|
通信経路は限定していますか
|
|
|
|
侵入防止機器は設置していますか
|
|
|
|
|
不正な通信を監視していますか
|
|
|
|
|
インシデント発生時の対応・復旧手順は整備していますか
|
|
|
|
|
・・・
|
・・・
|
|
|
受領した回答に対する対応
回答内容により、情報システム部より追加質問(対策状況を裏付ける証跡の依頼を含む)を実施し、対策状況の総合的な評価を実施
上記のアンケート表にて、サイバーセキュリティ対策状況に懸念がある取引先/委託先については、現場判断で即時に取引先/委託先を変更する等の対応が困難な場合もあるため、調査結果を経営者へ報告するとともに、組織としてのリスク対応方針を検討することとした。
-
図2-9.1 調査結果の経営者報告資料のイメージ
更新履歴
-
2026年4月28日
新規公開