「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書について
掲載日 2018年3月26日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
近年、ウイルス感染や不正アクセスなどにより、ウェブサイトの運営委託先から大量の個人情報が漏洩した、というような報道を目にすることは珍しいものではなくなりました。
このようなITサプライチェーン
(*1)上のインシデントの影響は、直接の被害組織だけでなく、複数の関係者に影響を及ぼす可能性があり、看過できない課題となっています。
そこで、IPAでは、ITサプライチェーンにおける対策状況、およびインシデント発生事例などについて調査を行い、「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」として公表しました。調査で明らかになったのは、情報セキュリティについて何をどのように依頼すればよいのかわからない委託元が多い、また契約上の責任範囲が明確にされていない、というものでした。
調査の概要
| (1)調査方法・対象 |
文献調査: |
インシデント事例(*2)の収集(52件)
契約実務、紛争事例、基準、ガイドライン等の調査 |
| アンケート調査: |
ユーザ企業(*3)499社、ITシステム・サービス提供企業620社(*4) |
| インタビュー調査: |
国内外ユーザ企業、IT企業、有識者10者(組織) |
| (2)調査期間 |
2017年10月~2018年2月 |
その他、主な調査項目等に関する詳細は調査報告書のp.3をご参照ください。
調査結果のポイント
- 情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を仕様書等で委託先に明示していない。特に、製造業では71.1%、卸売・小売業で74.2%が明記しておらず、顕著。
図1:委託先が実施すべき具体的な情報セキュリティ対策の仕様書等での明記(委託元の回答)
- 委託契約における情報セキュリティ上の責任範囲(責任分界点)がわからないと回答する割合が、委託元、委託先とも最多。
図2:委託先との契約における情報セキュリティの観点での課題(委託元の回答)
図3:委託元との契約における情報セキュリティの観点での課題(委託先の回答)
なお、2017年11月16日に経済産業省が公開した“サイバーセキュリティ経営ガイドラインVer. 2.0”には、経営者が認識すべき3原則が示されており、うち1つに「自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」とあります。
IPAでは、調査結果やガイドラインの内容を受け、今後ITサプライチェーンの業務委託におけるセキュリティ対策の状況把握や対策実施が推進されるよう、関連する調査・分析を予定しています。
調査報告書のダウンロード
プレスリリースのダウンロード
実施者
脚注
(*1)ITシステム・サービスに関する業務を系列企業やビジネスパートナーなどに外部委託し、その委託が連鎖する形態。
(*2)2012年10月から2017年10月に公開された事例。
(*3)総務省「経済センサス」の日本標準産業分類に基づく従業員規模毎・業種毎の企業数分布に層別抽出(比例割当法)。
(*4)ユーザ企業は従業員数50人以上、ITシステム・サービス提供企業は20人以上を対象とした。
本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター 小山/小川
TEL:03-5978-7530 FAX:03-5978-7514 E-mail:
更新履歴
(PDF:3.97MB)
