HOME情報セキュリティ「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」

本文を印刷する

情報セキュリティ

「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」

掲載日 2021年4月7日
最終更新日:2021年6月17日
独立行政法人情報処理推進機構
セキュリティセンター

   ニューノーマルにおけるテレワークとIT業務委託の
 セキュリティ実態調査結果(最終報告)を公開します
 
 ~コロナ禍での「セキュリティ対策の例外・特例」からの復帰が課題~

2020年4月7日一度目の緊急事態宣言による長期間の外出自粛の要請が発出されてから一年が経過しました。その後、一度目の緊急事態宣言の解除後もテレワークは継続されており、業務実施場所の多様化やコミュニケーションのオンライン化などの新しい働き方は不可逆的な変化として定着するものと想定されます。

緊急事態宣言により短期間でテレワークを導入、元々テレワークは導入していたが、急激に利用頻度が増加したなど、組織は世の中の状況に合わせた対応を余儀なくされました。このような背景の中、ICTの環境整備が優先され、セキュリティ対策が後回しになっているだけでなく、ITサプラチェーンにおける業務委託契約でも委託先(*1)と委託元(*2)の間で業務実施場所やコミュニケーションの方式等について整合ができていない可能性が考えられます。

そこでIPAは「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」を実施しました。本日は、昨年12月に公開した個人への調査結果および本年1月に公開した組織への調査結果における中間報告に続き、調査全体の最終報告を公開します。(報告書はこちらから)

本調査では、主に以下のことが明らかになりました。

  • コロナ禍でやむを得ず認めたセキュリティ対策の例外や特例が現状も継続している組織があること
  • 規定・規則・手順などが取り決められていても、委託元の半数以上が、従業員が規定・規則・手順を守れているかどうかの確認を実施していないこと
  • ニューノーマルに関する業務委託契約は進んでいないこと

コロナ禍のニューノーマルな状況にあっても、委託元・委託先がお互いの業務環境やルールについて十分に整合をした上で業務委託契約の内容を取り決めることが大切です。以下、新たに明らかになったポイントを詳しく説明します。

*1 委託元:IT企業等に対して ITシステム・ソフトウェアの製造・開発・保守・運用等を発注・委託している、ITサービスの提供を受けている組織および企業
*2 委託先:顧客(委託元)からITシステム・ソフトウェアの製造・開発・保守等を受託している、もしくはITサービスを提供しているIT企業

調査結果のポイント

1.会社が許可していないアプリケーションやサービスの業務利用を一時的に「やむを得ず」認め、現在も認めている組織がある

「設問:貴社では、緊急事態宣言中またはコロナ禍により特例や例外を認めなければならないセキュリティ対策の社内規定・規定・手順等はありましたか(*3)。」に対する回答のうち、「会社が許可していないアプリケーション・ソフトウェア・クラウドサービスの業務利用」についての結果は以下のとおりです。

(*3) その他、組織へのアンケートでは「機密情報の持ち出し」「機密情報の社外での印刷」「個人が所有する端末の業務利用」など、いくつかの例外や特例について確認しています(例外や特例の詳細は報告書を参照)

図1:会社が許可してないアプリケーション・ソフトウェア・クラウドサービスの業務利用
図1:会社が許可してないアプリケーション・ソフトウェア・クラウドサービスの業務利用

業務継続を優先としたため、一時的にやむを得ず認めたアプリケーション・ソフトウェア・クラウドサービスなどの利用を認め、現在(2020年10月31日時点)も継続して認めている組織が一定数存在しています。本来は許可していない状況が継続していることにより、セキュリティに問題がある内容が放置されている恐れがあります。利用禁止に戻す、またはセキュリティに問題が無い事を確認した上でルール化して利用を許可するなどの対策の実施が急務です。

2.半分以上の委託元がテレワークに関する社内規定・規則・手順の遵守確認を実施していない

「設問:貴社では、社員の間でテレワークに関する社内規程・規則・手順等が守られていることを何らかの方法で確認していますか(いましたか)。」に対する回答は以下のとおりです。

図2:テレワークに関する社内規定・規則・手順等が守られていることの確認状況
図2:テレワークに関する社内規定・規則・手順等が守られていることの確認状況

委託元の半数以上がテレワークに関する規定などが守られている事を確認していないと回答しています。
規定や手順が取り決められていても、遵守状況を確認できていないことにより、内部不正の機会が増加や、気づかないうちに規定に違反していることが原因でセキュリティインシデントが発生するなどの恐れがあります。また、「確認していない」という回答について委託元と委託先の差が21ポイントあり、委託元と委託先での確認の実態が大きく異なっています。業務委託契約を締結するにあたり、委託先と委託元の間でテレワークの規定有無の確認および遵守状況の実施状況についても話し合っておくことが重要です。

3.ニューノーマルに対応した業務委託契約は進んでいない

「設問:貴社では2020年4月1日から現在までの業務委託契約において、貴社と委託元/サービス利用先(または委託先/サービス提供元)との間の契約書・仕様書/利用規約・SLAの中で、貴社に対する以下に示すような情報セキュリティ上の要求事項についての取り決めがありましたか。(複数回答)」に対する回答は以下のとおりです。

図3:2020年4月1日から10月31日までの業務委託契約で委託元が取り決めたセキュリティ要求事項
図3:2020年4月1日から10月31日までの業務委託契約で委託元が取り決めたセキュリティ要求事項

業務委託契約を行う上でのテレワークの導入、BYODの使用などに関する業務委託契約上の要求事項について検討が進んでいないことがうかがえます。一方、これらの要求事項について検討する必要があると感じている結果が見えていること、有識者からの指摘事項などから、今後ニューノーマルに関するセキュリティ精査・強化が進むことが考えられます。
さらに、通常オンサイトでの業務実施が当たり前だった業務委託作業についても、今後はテレワークの作業となる、または、状況によりオンサイトとテレワークの両方で作業されることなどが想定されます。業務委託契約を締結するにあたり、委託先と委託元の間で業務環境やテレワーク実施の可否、BYODの使用の有無について話し合っておくことが重要です。
(報告書はこちらから)

調査の実施概要

調査は以下の通り、個人及び組織に対するアンケート調査とインタビュー調査により実施した。

アンケート調査(個人編)

(1)調査方法リサーチ会社を利用したウェブアンケート
(2)調査対象リサーチ会社の登録モニター(国内居住、18歳以上対象)
(3)調査期間2020年11月2日~11月13日
(4)調査項目テレワークの実施状況、ルールの策定状況、テレワークの実施に伴う業務委託に関する不安など
(5)設問数スクリーニング設問 5問  本調査設問 42問
(6)有効回答数2,372人
 IT企業の従業員・大規模(101人以上):717人
 IT企業の従業員・中小規模(100人以下):610人
 IT企業以外の企業・組織のIT部門に所属する
 IT担当者・大規模(301人以上):526人
 IT企業以外の企業・組織のIT部門に所属する
 IT担当者・中小規模(300人以下):519人

アンケート調査(組織編)

(1)調査方法リサーチ会社を利用した郵送アンケートとウェブアンケートの併用
(2)調査対象リサーチ会社の登録企業データベースから抽出した企業
(3)調査期間2020年11月18日~12月11日
(4)調査項目テレワークの実施状況、ルールの策定状況と遵守状況、テレワークに関連する業務委託上の取り決め状況など
(5)設問数委託先(IT)企業:45問  委託元企業:44問
(6)有効回答数505社
 委託先(IT企業)・大規模(101人以上):139社
 委託先(IT企業)・中小規模(100人以下):148社
 委託元・大規模(301人以上):112社
 委託元・中小規模(300人以上):106社

インタビュー調査

(1)調査方法オンライン会議ツールを使ったインタビュー
(2)調査対象セキュリティの専門家、IT企業の経営層、テレワークの専門家、委託元、委託先
(3)調査期間2020年10月5日~2021年2月16日
(4)調査項目今後の取り組みでの留意点、自社の実践事例、アンケート調査の仮説や結果に対する意見など
(5)回答者数9名
 セキュリティの専門家:3名
 IT企業の経営層:1名
 テレワークの専門家:1名
 委託元(IT企業)1名、委託元(製造業)1名
 委託先(IT企業)2名

報告書のダウンロード

  • 最終報告一括ダウンロード(ZIP:10MB)
  • 調査報告書の目次


    1 はじめに
    1.1 調査背景・目的
    1.2 調査実施における前提
    1.3 調査に際しての仮説
    1.4 本調査の実施概要
    2 調査結果
    2.1 「セキュリティガバナンス/コンプライアンスの低下」について
    2.2 「ルール・運用、マネジメント力の低下」について
    2.3 「今後想定されるセキュリティ脅威や情報セキュリティリスク」について
    2.4 「組織と従業員の責任分界点」について
    2.5 「委託先選定、再委託先許諾への影響」について
    2.6 「委託先へのセキュリティ対策要求等の変化」について
    3 課題と対応
    3.1 ニューノーマルにおけるセキュリティ上の課題
    3.2 今後必要となる対応
    4 提言
    付録資料 アンケート調査票(個人、組織)、単純集計結果(個人、組織)

  • 調査報告書PDF(PDF:2.4MB)
  • 付録資料_ アンケート調査票I.個人調査PDF(PDF:0.6MB)
  • 付録資料_ アンケート調査票II.組織調査PDF(PDF:2.1MB)
  • 付録資料_ アンケート調査単純集計結果I.個人調査PDF(PDF:1.4MB)
  • 付録資料_ アンケート調査単純集計結果II.組織調査PDF(PDF:1.7MB)
  • 概要説明資料(トピック)


    ・規定やルールの曖昧さ、実態とのかい離有、委託元は更に従業員の理解、周知が課題
    ・BYODのルールを決めていない企業が一定数存在
    ・BYOD利用時に組織が感じている課題
    ・BYODを利用して業務を実施する際に会社でルールが無くても個人で実施しているセキュリティ対策
    ・テレワークに関するセキュリティ対策の規定・規則・手順などの取り決めの状況
    ・半分以上の委託元がテレワークに関する社内規定・規則・手順の順守確認を実施していない
    ・コロナ禍でのセキュリティ対策の特例が現状も継続
    ・ルール策定状況の違いによる遵守困難・急速な行動の変化に伴うIT知識の不足
    ・ニューノーマルに対応した業務委託契約は進んでいない
    ・ITサプライチェーンにおける業務委託契約時のセキュリティ確保の増加

  • 概要説明資料PDF(PDF:2.0MB)

関連情報

実施者

本件に関するお問い合わせ先

IPA セキュリティセンター セキュリティ対策推進部 小山/森
E-mail:

更新履歴

                                   
2021年6月17日 付録資料_ アンケート調査票I.個人調査  Q28 選択肢の表記修正
付録資料_ アンケート調査票II.組織調査  Q28、Q30 選択肢の表記修正
付録資料_ アンケート調査単純集計結果I.個人調査  Q18 グラフの項目追加
付録資料_ アンケート調査単純集計結果II.組織調査  Q11 グラフの選択肢追加、Q16 選択肢の修正
2021年4月15日図1の誤り修正 (誤)委託先大規模 (正)委託元大規模
「最終報告一括ダウンロード」ファイルに含まれる、06_調査概要説明資料.pdfの11ページのグラフが正しく表示されるよう差し替え
2021年4月7日最終報告 公開