製造、小売では実施すべきセキュリティ対策を委託先に明示せず(IPA) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.11.22(木)

製造、小売では実施すべきセキュリティ対策を委託先に明示せず(IPA)

IPAは、「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書を公開した。

調査・レポート・白書 調査・ホワイトペーパー
独立行政法人情報処理推進機構(IPA)は3月26日、「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書を公開した。同報告書は、ITシステム・サービス等の業務委託先などにおけるセキュリティリスクが看過できない課題となっていることから、ITサプライチェーンにおける対策状況、およびインシデント発生事例などについて調査を行い、その結果をまとめたもの。

調査は、文献調査、アンケート調査、インタビュー調査により行われており、これらをまとめたところ、「インシデントが発覚する主体(委託元、委託先、顧客)によって発覚経緯に特徴がある」「インシデントの発生箇所は委託先が多い」「事業分野ごとに、インシデントの原因に特徴がある」といった特徴が現れた。また、これらの分析から「インターネットビジネス事業×不正アクセス」「ITソリューション事業(SI事業)×内部不正」「ITソリューション事業(クラウドサービス事業)×人」の3つのインシデントの典型パターンを作成している。

「ITサプライチェーンリスクマネジメントに対する企業の取組みの現状」では、委託元の回答企業が直接取引を行った委託先は「10社以下」が77.6%と最も多かった。一方、委託先の回答企業が直接取引を行った委託元は「50社以下」が71.6%で、「101社以上」の委託先と取引がある委託元も12.7%と一定数あった。委託元の回答企業の54.3%、委託先の回答企業の76.6%に再委託先があった。

また、情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を仕様書等で委託先に明示していない。特に、製造業では71.1%、卸売・小売業で74.2%が明記しておらず、顕著になっている。さらに、委託契約における情報セキュリティ上の責任範囲(責任分界点)がわからないと回答する割合が、委託元、委託先とも最多となっている。6+5
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!11月末迄 ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。現在通常料金半額以下!!
(。・ω・)ゞ !!11月末迄 ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。現在通常料金半額以下!!

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません!

×