ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査 最終報告

ニューノーマルにおけるテレワークとIT業務委託の
セキュリティ実態調査結果（最終報告）を公開します
～コロナ禍での「セキュリティ対策の例外・特例」からの復帰が課題～

2020年4月7日一度目の緊急事態宣言による長期間の外出自粛の要請が発出されてから一年が経過しました。その後、一度目の緊急事態宣言の解除後もテレワークは継続されており、業務実施場所の多様化やコミュニケーションのオンライン化などの新しい働き方は不可逆的な変化として定着するものと想定されます。

緊急事態宣言により短期間でテレワークを導入、元々テレワークは導入していたが、急激に利用頻度が増加したなど、組織は世の中の状況に合わせた対応を余儀なくされました。このような背景の中、ICTの環境整備が優先され、セキュリティ対策が後回しになっているだけでなく、ITサプラチェーンにおける業務委託契約でも委託先(*1)と委託元(*2)の間で業務実施場所やコミュニケーションの方式等について整合ができていない可能性が考えられます。

そこでIPAは「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」を実施しました。本日は、昨年12月に公開した個人への調査結果および本年1月に公開した組織への調査結果における中間報告に続き、調査全体の最終報告を公開します。

本調査では、主に以下のことが明らかになりました。

• コロナ禍でやむを得ず認めたセキュリティ対策の例外や特例が現状も継続している組織があること
• 規定・規則・手順などが取り決められていても、委託元の半数以上が、従業員が規定・規則・手順を守れているかどうかの確認を実施していないこと
• ニューノーマルに関する業務委託契約は進んでいないこと

コロナ禍のニューノーマルな状況にあっても、委託元・委託先がお互いの業務環境やルールについて十分に整合をした上で業務委託契約の内容を取り決めることが大切です。以下、新たに明らかになったポイントを詳しく説明します。

1. *1
   委託元：IT企業等に対して ITシステム・ソフトウェアの製造・開発・保守・運用等を発注・委託している、ITサービスの提供を受けている組織および企業
2. *2
   委託先：顧客（委託元）からITシステム・ソフトウェアの製造・開発・保守等を受託している、もしくはITサービスを提供しているIT企業

調査結果のポイント

1．会社が許可していないアプリケーションやサービスの業務利用を一時的に「やむを得ず」認め、現在も認めている組織がある

「設問:貴社では、緊急事態宣言中またはコロナ禍により特例や例外を認めなければならないセキュリティ対策の社内規定・規定・手順等はありましたか(*3)。」に対する回答のうち、「会社が許可していないアプリケーション・ソフトウェア・クラウドサービスの業務利用」についての結果は以下のとおりです。

1. (*3)
   その他、組織へのアンケートでは「機密情報の持ち出し」「機密情報の社外での印刷」「個人が所有する端末の業務利用」など、いくつかの例外や特例について確認しています（例外や特例の詳細は報告書を参照）

業務継続を優先としたため、一時的にやむを得ず認めたアプリケーション・ソフトウェア・クラウドサービスなどの利用を認め、現在(2020年10月31日時点)も継続して認めている組織が一定数存在しています。本来は許可していない状況が継続していることにより、セキュリティに問題がある内容が放置されている恐れがあります。利用禁止に戻す、またはセキュリティに問題が無い事を確認した上でルール化して利用を許可するなどの対策の実施が急務です。

2．半分以上の委託元がテレワークに関する社内規定・規則・手順の遵守確認を実施していない

「設問：貴社では、社員の間でテレワークに関する社内規程・規則・手順等が守られていることを何らかの方法で確認していますか（いましたか）。」に対する回答は以下のとおりです。

委託元の半数以上がテレワークに関する規定などが守られている事を確認していないと回答しています。
規定や手順が取り決められていても、遵守状況を確認できていないことにより、内部不正の機会が増加や、気づかないうちに規定に違反していることが原因でセキュリティインシデントが発生するなどの恐れがあります。また、「確認していない」という回答について委託元と委託先の差が21ポイントあり、委託元と委託先での確認の実態が大きく異なっています。業務委託契約を締結するにあたり、委託先と委託元の間でテレワークの規定有無の確認および遵守状況の実施状況についても話し合っておくことが重要です。

3．ニューノーマルに対応した業務委託契約は進んでいない

「設問：貴社では2020年4月1日から現在までの業務委託契約において、貴社と委託元／サービス利用先（または委託先／サービス提供元）との間の契約書・仕様書／利用規約・SLAの中で、貴社に対する以下に示すような情報セキュリティ上の要求事項についての取り決めがありましたか。（複数回答）」に対する回答は以下のとおりです。

業務委託契約を行う上でのテレワークの導入、BYODの使用などに関する業務委託契約上の要求事項について検討が進んでいないことがうかがえます。一方、これらの要求事項について検討する必要があると感じている結果が見えていること、有識者からの指摘事項などから、今後ニューノーマルに関するセキュリティ精査・強化が進むことが考えられます。
さらに、通常オンサイトでの業務実施が当たり前だった業務委託作業についても、今後はテレワークの作業となる、または、状況によりオンサイトとテレワークの両方で作業されることなどが想定されます。業務委託契約を締結するにあたり、委託先と委託元の間で業務環境やテレワーク実施の可否、BYODの使用の有無について話し合っておくことが重要です。

調査の実施概要

調査は以下の通り、個人及び組織に対するアンケート調査とインタビュー調査により実施した。

アンケート調査（個人編）

アンケート調査（組織編）

インタビュー調査

報告書のダウンロード

• 最終報告一括ダウンロード(ZIP:9.0 MB)

調査報告書の目次

• 1 はじめに
  • 1.1 調査背景・目的
  • 1.2 調査実施における前提
  • 1.3 調査に際しての仮説
  • 1.4 本調査の実施概要
• 2 調査結果
  • 2.1 「セキュリティガバナンス/コンプライアンスの低下」について
  • 2.2 「ルール・運用、マネジメント力の低下」について
  • 2.3 「今後想定されるセキュリティ脅威や情報セキュリティリスク」について
  • 2.4 「組織と従業員の責任分界点」について
  • 2.5 「委託先選定、再委託先許諾への影響」について
  • 2.6 「委託先へのセキュリティ対策要求等の変化」について
• 3 課題と対応
  • 3.1 ニューノーマルにおけるセキュリティ上の課題
  • 3.2 今後必要となる対応
• 4 提言
  • 付録資料　アンケート調査票（個人、組織）、単純集計結果（個人、組織）

• 調査報告書(PDF:2.4 MB)
• 付録資料_ アンケート調査票I.個人調査(PDF:611 KB)
• 付録資料_ アンケート調査票II.組織調査(PDF:1.7 MB)
• 付録資料_ アンケート調査単純集計結果I.個人調査(PDF:1.2 MB)
• 付録資料_ アンケート調査単純集計結果II.組織調査(PDF:1.4 MB)

概要説明資料（トピック）

• 規定やルールの曖昧さ、実態とのかい離有、委託元は更に従業員の理解、周知が課題
• BYODのルールを決めていない企業が一定数存在
• BYOD利用時に組織が感じている課題
• BYODを利用して業務を実施する際に会社でルールが無くても個人で実施しているセキュリティ対策
• テレワークに関するセキュリティ対策の規定・規則・手順などの取り決めの状況
• 半分以上の委託元がテレワークに関する社内規定・規則・手順の順守確認を実施していない
• コロナ禍でのセキュリティ対策の特例が現状も継続
• ルール策定状況の違いによる遵守困難・急速な行動の変化に伴うIT知識の不足
• ニューノーマルに対応した業務委託契約は進んでいない
• ITサプライチェーンにおける業務委託契約時のセキュリティ確保の増加
  

• 概要説明資料(PDF:2.0 MB)

関連情報

2020年12月24日公開

• テレワークの実施における不安に関する調査結果（個人編　中間報告）を公開しました
  ～テレワークを実施する取引先のセキュリティ対策に不安を感じる回答者が約5割～

2021年1月28日公開

• テレワークとIT業務委託のセキュリティ実態調査、組織編の中間報告を公開
  ～新規取引先のセキュリティへの対応力や体制に課題を感じる企業が5割～

実施者

• 株式会社NTTデータ経営研究所

関連資料

IPAデジタルシンポジウム　ミニセミナー資料

2021年10月11日に開催したIPAデジタルシンポジウムの質問コーナーで実施したミニセミナーの資料です。

• テレワークの情報セキュリティ(PDF:1.7 MB)