情報漏えい対策

ITサプライチェーンとは?
外部委託に潜むセキュリティリスクとその対応

  • TOP
  • 課題から探す
  • ITサプライチェーンとは?外部委託に潜むセキュリティリスクとその対応

法人のお客さまに起こりがちな状況

ITの分野において、社内システムの開発や一部業務のアウトソースなど現時点での社内リソースでは対応できないことを外部の力を使って実現することが一般的になってきました。

同時に、取引先から情報漏えいした、運用を任せている子会社から情報流出が発生したなど社外に委託することによって自社では見えない領域が増えていることも事実です。

こうした委託先に存在するセキュリティリスクに対してはどのような対応が必要なのでしょうか?

ITサプライチェーンと呼ばれる概念の紹介と、委託先に求めるセキュリティレベルについて考え方をご紹介します。

ITサプライチェーンとは

ITサプライチェーンとは、IPA(情報処理推進機構)によると「ITシステム・サービスに関する業務を系列企業やビジネスパートナーなどに外部委託し、その委託が連鎖する形態」と定義されています。

参考:https://www.ipa.go.jp/security/fy30/reports/scrm/index.html

中小企業では開発チームを社内に抱える余裕がなかったりするためほとんどのケースでシステム開発や一部業務を外部に委託しているのではないでしょうか。システム開発も基幹システムレベルなどのある程度規模になったりするといわゆる二次受けや孫請けといった下請けが発生したり、制作や広告運用などの場合でも受託先がさらに外部のデザイナーや運用者に依頼するケースが出てきます。こうした外部企業への委託を行っているものを総称してITサプライチェーンと呼称しています。

日本では特にシステム開発において多重下請け構造が頻繁に見られる形となっており、サプライチェーンが長くなる傾向があります。

委託者の立場から見たITサプライチェーンのセキュリティリスク

委託者の立場から見ると、ITサプライチェーンは先の見えない暗闇に近いものかもしれません。

自社であればネットワークの状態、セキュリティソフトの状態、情報セキュリティガイドラインの内容、社内での情報セキュリティに対する意識レベルの感覚値などほぼ把握できている状態かと思います。

しかし、委託先となると話は違います。当然他社なのでどんなルールが設定され、どんな運用がなされ、どんなセキュリティ対策が行われているのかを知るのは非常に高いハードルがあります。

しかも、外部企業とはいえ扱っているのは自社の機密事項だったりするため漏えいによる被害を直接的に受けるのは自社になってしまいます。

「委託を受ける側だから当然情報セキュリティに対する意識は高いだろう」という安易な考え方はセキュリティリスクになりかねません。

だからこそ、きちんとリスクを把握したうえでしかるべき対策を検討する必要があるのです。

ITサプライチェーンにより被害を受けるケース

ITサプライチェーンにより受ける被害は大まかに以下に分類されます。

<過失による被害>
メールの送信間違い、誤ったデータの公開、データが入った端末の紛失などがこれにあたります。
<受託社内部の人間の不正による被害>
販売目的での個人情報の持ち出しなどがこれにあたります。
<外部からの攻撃による被害>
マルウェアなどによる攻撃などがこれにあたります。

さらにサプライチェーンの観点でいうと委託先だけではなく「再委託先」についても同様のインシデントが発生する可能性を考慮しなければなりません。案件規模が大きくなり再委託先が増えれば増えるほどITサプライチェーンの観点ではリスクが増大する形になります。

最近は案件規模があまり大きくないケースでも受託先がさらにフリーランスの開発者に再委託しているケースがあり、規模に関わらず注意しておく必要が出てきてもいます。

委託先に求めるべきセキュリティレベルとは?

アウトソーシングする場合委託する側としては当然高いセキュリティレベルを求めますが、求めるセキュリティレベルがあまりに高いと委託できる企業が減ってしまうジレンマもあります。

求める業務内容によって要求するセキュリティレベルは異なりますが、原則として最低限「自社と同等かそれ以上」を求めるのが正解です。「セキュリティレベルは最も低いものに合わせられる」という、いわゆる「桶の理論」があるからです。9割の部分で自社よりセキュリティレベルが高くても、残り1割が自社より低ければその低いセキュリティレベルで評価しなくてはなりません。

こうした内容を考慮したうえで、以下のような形でセキュリティレベルを決める必要があります。

  1. 自社のセキュリティレベルを確認する。
    もし自社でガイドラインがまだ定められていないなどの状況であれば、以下のIPAが出している中小企業の情報セキュリティ対策ガイドラインにある 「【表4】自社診断のための25項目」で確認するのがある程度網羅されており良いかもしれません。

    参考:https://www.ipa.go.jp/files/000055520.pdf

  2. 相手方に対し同リストをヒアリングシートとして提示
    セキュリティ対策ガイドラインの25項目に対して結果の〇×とその詳細について記載してもらい、問題ないかを確認します。
  3. 自社と比較して対応不足の項目に対して対応方針を相互に確認し合意を図る
    全項目が自社よりも高い水準での対応だった場合は問題ありませんが、もし自社よりもセキュリティレベルが低い場合はその箇所についてどのような対応を行うのかを確認し、相互に納得できる形での合意を目指します。

また、最近はクラウドサービスを利用するケースも多いためJNSA(日本ネットワークセキュリティ協会)が出している「外部委託先管理規程」を参考にクラウドサービスの利用に関する遵守事項を定めるのも重要です。

参考:https://www.jnsa.org/result/2016/policy/data/03.pdf

委託者の立場からできるその他の対応策

セキュリティレベルを維持するために必要なことは、前述の内容以外にも存在します。

<選定>
選定時点では多数ある委託先の中からすべてに対してアセスメントを行うのも非効率です。その場合、簡易的なフィルタとして機能するのが認証制度です。ISMS認証やPマークの取得などが行われていれば一定程度の情報セキュリティレベルの維持が保証されていることになるので一次フィルタとして機能します。
<契約>
契約時に用いる契約書の見直しも重要です。機密保持に対する条項が含まれているかどうか、さらにその中に再委託等に関する条項が含まれているかどうかなどを確認します。再委託の場合も、再委託先に対する監督責任、同レベルでの機密保持体制の確約、再委託先の瑕疵(かし)による損害発生時の責任についてなどを明記することでトラブル発生時のリスクを下げられる他、相手方へのセキュリティ体制が甘くなることに対する抑止力としても働きます。
<運用>
契約時に取り交わされた体制が正しく運用されているかどうかについて定期的な監査を行いセキュリティレベルの維持、向上が図られているか確認します。時間経過とともに受託先でも組織体制や執務環境に変更があり当初の取り決めとは状況が異なるケースが発生しがちです。定期的な監査を行い、実態に合わせて相互にセキュリティレベル維持に努めることが重要です。

ITサプライチェーンリスクは委託先任せではなく自社主導で

ITサプライチェーンはさまざまなリスクを内包しています。ただし、外部に委託することで得られるメリットも大きいのでリスクがあるからと敬遠するのもあまり正しい判断ではありません。

リスクを把握し、適切な対処を行うことでインシデントの発生確率を低減することが情シス担当としてのあるべき役割といえます。

その際には委託先任せにしてブラックボックスを作るのではなく、自社主導によってきちんと情報を集めたうえで判断することが重要となります。

トレンドマイクロからのアドバイス

ITサプライチェーンに存在するリスクは自社単体ではなかなか改善が難しい領域となります。しかし、もし仮に受託先の端末がマルウェア感染してしまった場合などの備えを行っておくことで、自社のリスクを軽減できる体制を構築することは可能です。受託先に対して適切な管理を行うとともに、「100%の安心は存在しない」という意識をもって自社のセキュリティを高めておくのが最善の対応方法といえます。

トレンドマイクロではマルウェア感染した端末などから受ける外部からの攻撃に対しても対応できるさまざまなソリューションを提供しています。自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。

また、従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。

CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護

Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。

※すべての未知の脅威に対応するものではありません

また、トレンドマイクロではExchange Onlineを使用しているお客さま向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。

ご活用いただける環境にありましたらぜひお試しください。

Exchange Onlineのクラウド上にあるメールボックス内に残っている脅威を可視化

Trend Micro Security Assessment Serviceは企業が直面する高度な脅威から効果的に守られているかどうかを確認できるMicrosoft 365のメールサービス (Exchange Online) 向けの無料メールセキュリティ評価サービスです。

検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り