HOME情報セキュリティ「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」

本文を印刷する

情報セキュリティ

「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」

掲載日 2021年1月28日
最終更新日 2021年2月5日
独立行政法人情報処理推進機構
セキュリティセンター

テレワークとIT業務委託のセキュリティ実態調査、組織編の中間報告を公開
~新規取引先のセキュリティへの対応力や体制に課題を感じる企業が5割~

2020年度は新型コロナウイルス感染拡大防止の為、テレワークが推奨され、多くの組織で検討、導入が進みました。しかし、急速なICT環境の整備は、業務継続を優先したことにより、セキュリティ対策が十分とは言えない可能性あります。「情報セキュリティ10大脅威2021」では「サプライチェーンの弱点を悪用した攻撃」が3年連続で4位、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場で3位になり、脅威が大きくなっていることが伺えます.こうしたICT環境の変化について、特にITシステム・サービスの業務委託におけるセキュリティの取り決めに与える影響を調査する目的で、個人および企業・組織へのアンケート調査を行いました。2020年12月に公開した個人編の中間報告に続き、組織編として、IT業務の委託先(*1)(IT企業)287社と委託元(*2) 218社の計505社を対象とした調査結果の一部を中間報告として公開します。

調査結果から、現在(*3)までに委託先(IT企業)の9割強がテレワークを経験しているのに対し、委託元は約5割と差があり、テレワーク実施に関するセキュリティ対策に課題をより強く感じていることが明らかになりました。また、テレワークの規則が決められていない、ルールの周知や理解度に課題を感じているといったこともわかりました。業務委託においては、委託元が委託先からの機密情報漏えいや新規取引先とのセキュリティインシデント発生時における対応力や体制に課題を感じていることが分かりました。委託先・委託元が十分に対話し、取り決めをすることが大切です。調査の結果明らかになった主なポイントは次のとおりです。

*1 委託元:IT企業等に対して ITシステム・ソフトウェアの製造・開発・保守・運用等を発注・委託している、ITサービスの提供を受けている組織および企業
*2 委託先:顧客(委託元)からITシステム・ソフトウェアの製造・開発・保守等を受託している、もしくはITサービスを提供しているIT企業
*3 現在:2020年10月31日時点を示す

調査結果のポイント

1.委託先の9割強がテレワーク実施経験あり、委託元は5割

委託先と委託元ではテレワークの実施率の大きな差がありました。委託先はIT企業が多く、既にテレワークの準備が進んでいたことが考えられます。委託元の中でも業種により、実施率は差がみられます。(業種別実施率は下記の「組織編 中間報告」を参照)

設問:貴社では、現在(2020年10月31日)テレワークを実施していますか(またはこれまでに実施したことがありますか)。(n=505)
図1:テレワークの導入状況
図1:テレワークの導入状況

2.テレワークのセキュリティ対策を実施するにあたり「設備投資の増加」と「ルール順守の確認が難しくなった」という課題を感じている組織が5割

テレワーク実施環境のセキュリティ対策に投資して対策を強化している一方、社員のルール順守状況の確認が難しくなったと感じている組織が半数であることから、不注意による情報漏えいや内部不正につながる可能性が考えられるためガバナンスの徹底が急務です。

設問:貴社でテレワークのセキュリティ対策を実施するにあたり、現在(現在テレワークを実施していない場 合は、実施していた時点で)課題と感じていることはありますか(ありましたか)。(複数回答)(n=382)
図2:テレワークを実施するにあたってのセキュリティ上の課題(テレワーク実施経験組織)
図2:テレワークを実施するにあたってのセキュリティ上の課題(テレワーク実施経験組織)

3.Web会議ツールの規則を決めている組織は少ない傾向

「会社が許可したツールのみ利用可」としている組織が5割である以外は、全体的にWeb会議の規則を取り決めている組織が少ないです。Web会議ツールのユースケースに合わせて規則を取り決めることが望まれます。

設問:Web会議ツール(Skype、Zoom、Microsoft Teams、WebEx等)の利用についてどのような規則を定めていますか。(n=499)
図3:Web会議ツールの利用について取り決めている規則
図3:Web会議ツールの利用について取り決めている規則

業務環境の変化に対応するためのセキュリティ対策の確認が必要
IPAでは「Web会議サービスを使用する際のセキュリティ上の注意事項」を公開しています
https://www.ipa.go.jp/security/announce/webmeeting.html

4.委託元と委託先でセキュリティ規則の「社員の理解」や「ルールの周知」が不十分であるという課題意識の差が大きい

新しい働き方の推進や新型コロナウイルス感染防止対策として今後もテレワークの継続が想定されるため、委託元におけるセキュリティ対策の規定の理解と周知が急務です。

設問:貴社のテレワーク実施に関するセキュリティ対策の社内規定・規則・手順等において、現在(現在テレワークを実施していない場合は、実施していた時点で)課題と感じている点がありますか。(複数回答)(n=383)
図4:テレワーク実施時の社内規程・規則・手順等の課題(テレワーク実施経験組織)
図4:テレワーク実施時の社内規程・規則・手順等の課題(テレワーク実施経験組織)

IPAでは「テレワークを行う際のセキュリティ上の注意事項」を公開しています
https://www.ipa.go.jp/security/announce/telework.html

5.業務委託先がテレワークをしている場合、機密情報の漏えいについて課題と認識していると、委託元の3割が回答

業務委託契約において、委託元、委託先の双方でテレワーク環境での情報の取扱いについて十分に整合した上で契約を締結することが求められます。

設問:貴社の委託先がテレワークを実施している場合、貴社が課題として認識していることはありますか。(複数回答)(委託先とのやり取りがある委託元 n=186)
図5:委託先がテレワークをしている場合、委託元が課題と認識していること
図5:委託先がテレワークをしている場合、委託元が課題と認識していること

6.委託元の約5割が「新規」に取引する委託先のセキュリティインシデント発生時の対応体制や対応力に課題や不安を感じると回答

継続契約の場合は、委託先の体制や対応力について過去の実績や経験から把握できますが、新規の場合は委託する内容確認が優先され、セキュリティについて課題や不安が残ることがあります(図6)。特にインシデント対応は、迅速であることが求められ、委託元、委託先それぞれの準備と連携が重要です。テレワーク導入により、インシデント発生時の社外からの連絡や遠隔での対応も必要になる可能性があります。委託元はインシデント対応体制や手順が整備されていない組織が2割以上という結果が出ています(図7)。業務委託契約において、委託元、委託先の双方でセキュリティインシデントが発生することを前提に対応の内容や体制について十分に整合した上で契約を締結することが望まれます。

設問:貴社が業務委託/ITサービスの提供元と新規に取引する際、委託先/提供元の企業に対して課題 や不安を感じることはありますか。(複数回答)(n=186)
図6:委託元が新規に取り引きする「委託先/提供元」の企業に対して感じる課題や不安
図6:委託元が新規に取り引きする「委託先/提供元」の企業に対して感じる課題や不安

設問:貴社では、テレワーク導入後、セキュリティインシデントへの対応体制や手順をチェック(再検討)しましたか。また、チェックの結果、対応体制や手順を変更しましたか。(n=382)
図7:テレワーク導入後のセキュリティインシデント対応体制や手順のチェック
図7:テレワーク導入後のセキュリティインシデント対応体制や手順のチェック

IPAでは本調査の結果をもとに、ITサプライチェーンにおけるセキュリティ脅威やリスク、および課題などの観点から分析、有識者、企業へのインタビューを行い、最終調査報告書を2021年春に公開する予定です。IPAは本調査の結果を踏まえ、組織におけるテレワークのセキュリティ対策や、委託元と委託先間の対話が進むことを期待しています。

調査の概要

(1)調査方法リサーチ会社を利用した郵送アンケートとウェブアンケートの併用
(2)調査対象リサーチ会社の登録企業データベースから抽出した企業
(3)調査期間事前調査:2020年11月18日~12月11日
(4)調査項目テレワークの実施状況、ルールの策定状況、テレワークの実施に伴う業務委託に関する不安など
(5)設問数委託先(IT)企業:45問  委託元企業:44問
(6)有効回答者数505社
 委託先(IT企業)・大規模(101人以上):139社
 委託先(IT企業)・中小規模(100人以下):148社
 委託元・大規模(301人以上):112社
 委託元・中小規模(300人以上):106社
(7)実施者 株式会社NTTデータ経営研究所 別ウィンドウで開く

報告書のダウンロード

*個人編 中間報告はこちら

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA セキュリティセンター セキュリティ対策推進部 小山/森
E-mail:

更新履歴

2021年2月5日 組織編 中間報告書(P2)の有効回答数の誤りを修正
2021年1月28日 組織編 中間報告書 公開