情報セキュリティ
公開日:2021年4月7日
最終更新日:2021年10月11日
独立行政法人情報処理推進機構
セキュリティセンター
ニューノーマルにおけるテレワークとIT業務委託の
セキュリティ実態調査結果(最終報告)を公開します
~コロナ禍での「セキュリティ対策の例外・特例」からの復帰が課題~
2020年4月7日一度目の緊急事態宣言による長期間の外出自粛の要請が発出されてから一年が経過しました。その後、一度目の緊急事態宣言の解除後もテレワークは継続されており、業務実施場所の多様化やコミュニケーションのオンライン化などの新しい働き方は不可逆的な変化として定着するものと想定されます。
緊急事態宣言により短期間でテレワークを導入、元々テレワークは導入していたが、急激に利用頻度が増加したなど、組織は世の中の状況に合わせた対応を余儀なくされました。このような背景の中、ICTの環境整備が優先され、セキュリティ対策が後回しになっているだけでなく、ITサプラチェーンにおける業務委託契約でも委託先(*1)と委託元(*2)の間で業務実施場所やコミュニケーションの方式等について整合ができていない可能性が考えられます。
そこでIPAは「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」を実施しました。本日は、昨年12月に公開した個人への調査結果および本年1月に公開した組織への調査結果における中間報告に続き、調査全体の最終報告を公開します。
本調査では、主に以下のことが明らかになりました。
コロナ禍のニューノーマルな状況にあっても、委託元・委託先がお互いの業務環境やルールについて十分に整合をした上で業務委託契約の内容を取り決めることが大切です。以下、新たに明らかになったポイントを詳しく説明します。
「設問:貴社では、緊急事態宣言中またはコロナ禍により特例や例外を認めなければならないセキュリティ対策の社内規定・規定・手順等はありましたか(*3)。」に対する回答のうち、「会社が許可していないアプリケーション・ソフトウェア・クラウドサービスの業務利用」についての結果は以下のとおりです。
業務継続を優先としたため、一時的にやむを得ず認めたアプリケーション・ソフトウェア・クラウドサービスなどの利用を認め、現在(2020年10月31日時点)も継続して認めている組織が一定数存在しています。本来は許可していない状況が継続していることにより、セキュリティに問題がある内容が放置されている恐れがあります。利用禁止に戻す、またはセキュリティに問題が無い事を確認した上でルール化して利用を許可するなどの対策の実施が急務です。
「設問:貴社では、社員の間でテレワークに関する社内規程・規則・手順等が守られていることを何らかの方法で確認していますか(いましたか)。」に対する回答は以下のとおりです。
委託元の半数以上がテレワークに関する規定などが守られている事を確認していないと回答しています。
規定や手順が取り決められていても、遵守状況を確認できていないことにより、内部不正の機会が増加や、気づかないうちに規定に違反していることが原因でセキュリティインシデントが発生するなどの恐れがあります。また、「確認していない」という回答について委託元と委託先の差が21ポイントあり、委託元と委託先での確認の実態が大きく異なっています。業務委託契約を締結するにあたり、委託先と委託元の間でテレワークの規定有無の確認および遵守状況の実施状況についても話し合っておくことが重要です。
「設問:貴社では2020年4月1日から現在までの業務委託契約において、貴社と委託元/サービス利用先(または委託先/サービス提供元)との間の契約書・仕様書/利用規約・SLAの中で、貴社に対する以下に示すような情報セキュリティ上の要求事項についての取り決めがありましたか。(複数回答)」に対する回答は以下のとおりです。
業務委託契約を行う上でのテレワークの導入、BYODの使用などに関する業務委託契約上の要求事項について検討が進んでいないことがうかがえます。一方、これらの要求事項について検討する必要があると感じている結果が見えていること、有識者からの指摘事項などから、今後ニューノーマルに関するセキュリティ精査・強化が進むことが考えられます。
さらに、通常オンサイトでの業務実施が当たり前だった業務委託作業についても、今後はテレワークの作業となる、または、状況によりオンサイトとテレワークの両方で作業されることなどが想定されます。業務委託契約を締結するにあたり、委託先と委託元の間で業務環境やテレワーク実施の可否、BYODの使用の有無について話し合っておくことが重要です。
調査は以下の通り、個人及び組織に対するアンケート調査とインタビュー調査により実施した。
リサーチ会社を利用したウェブアンケート
リサーチ会社の登録モニター(国内居住、18歳以上対象)
2020年11月2日~11月13日
テレワークの実施状況、ルールの策定状況、テレワークの実施に伴う業務委託に関する不安など
スクリーニング設問 5問 本調査設問 42問
2,372人
リサーチ会社を利用した郵送アンケートとウェブアンケートの併用
リサーチ会社の登録企業データベースから抽出した企業
2020年11月18日~12月11日
テレワークの実施状況、ルールの策定状況と遵守状況、テレワークに関連する業務委託上の取り決め状況など
委託先(IT)企業:45問 委託元企業:44問
505社
オンライン会議ツールを使ったインタビュー
セキュリティの専門家、IT企業の経営層、テレワークの専門家、委託元、委託先
2020年10月5日~2021年2月16日
今後の取り組みでの留意点、自社の実践事例、アンケート調査の仮説や結果に対する意見など
9名
2020年12月24日公開
2021年1月28日公開
2021年10月11日に開催したIPAデジタルシンポジウムの質問コーナーで実施したミニセミナーの資料です。
IPA セキュリティセンター セキュリティ対策推進部 小山/森
2021年10月11日
関連資料を追加
2021年6月17日
付録資料_ アンケート調査票I.個人調査 Q28 選択肢の表記修正
付録資料_ アンケート調査票II.組織調査 Q28、Q30 選択肢の表記修正
付録資料_ アンケート調査単純集計結果I.個人調査 Q18 グラフの項目追加
付録資料_ アンケート調査単純集計結果II.組織調査 Q11 グラフの選択肢追加、Q16 選択肢の修正
2021年4月15日
図1の誤り修正 (誤)委託先大規模 (正)委託元大規模
「最終報告一括ダウンロード」ファイルに含まれる、06_調査概要説明資料.pdfの11ページのグラフが正しく表示されるよう差し替え
2021年4月7日
最終報告 公開