委託者の立場から見ると、ITサプライチェーンは先の見えない暗闇に近いものかもしれません。

自社であればネットワークの状態、セキュリティソフトの状態、情報セキュリティガイドラインの内容、社内での情報セキュリティに対する意識レベルの感覚値などほぼ把握できている状態かと思います。

しかし、委託先となると話は違います。当然他社なのでどんなルールが設定され、どんな運用がなされ、どんなセキュリティ対策が行われているのかを知るのは非常に高いハードルがあります。

しかも、外部企業とはいえ扱っているのは自社の機密事項だったりするため漏えいによる被害を直接的に受けるのは自社になってしまいます。

「委託を受ける側だから当然情報セキュリティに対する意識は高いだろう」という安易な考え方はセキュリティリスクになりかねません。

だからこそ、きちんとリスクを把握したうえでしかるべき対策を検討する必要があるのです。

ITサプライチェーンにより受ける被害は大まかに以下に分類されます。

＜過失による被害＞

メールの送信間違い、誤ったデータの公開、データが入った端末の紛失などがこれにあたります。

＜受託社内部の人間の不正による被害＞

販売目的での個人情報の持ち出しなどがこれにあたります。

＜外部からの攻撃による被害＞

マルウェアなどによる攻撃などがこれにあたります。

さらにサプライチェーンの観点でいうと委託先だけではなく「再委託先」についても同様のインシデントが発生する可能性を考慮しなければなりません。案件規模が大きくなり再委託先が増えれば増えるほどITサプライチェーンの観点ではリスクが増大する形になります。

最近は案件規模があまり大きくないケースでも受託先がさらにフリーランスの開発者に再委託しているケースがあり、規模に関わらず注意しておく必要が出てきてもいます。

アウトソーシングする場合委託する側としては当然高いセキュリティレベルを求めますが、求めるセキュリティレベルがあまりに高いと委託できる企業が減ってしまうジレンマもあります。

求める業務内容によって要求するセキュリティレベルは異なりますが、原則として最低限「自社と同等かそれ以上」を求めるのが正解です。「セキュリティレベルは最も低いものに合わせられる」という、いわゆる「桶の理論」があるからです。9割の部分で自社よりセキュリティレベルが高くても、残り1割が自社より低ければその低いセキュリティレベルで評価しなくてはなりません。

こうした内容を考慮したうえで、以下のような形でセキュリティレベルを決める必要があります。

1. 自社のセキュリティレベルを確認する。

   もし自社でガイドラインがまだ定められていないなどの状況であれば、以下のIPAが出している中小企業の情報セキュリティ対策ガイドラインにある　「【表4】自社診断のための25項目」で確認するのがある程度網羅されており良いかもしれません。

   参考：https://www.ipa.go.jp/files/000055520.pdf

2. 相手方に対し同リストをヒアリングシートとして提示

   セキュリティ対策ガイドラインの25項目に対して結果の〇×とその詳細について記載してもらい、問題ないかを確認します。

3. 自社と比較して対応不足の項目に対して対応方針を相互に確認し合意を図る

   全項目が自社よりも高い水準での対応だった場合は問題ありませんが、もし自社よりもセキュリティレベルが低い場合はその箇所についてどのような対応を行うのかを確認し、相互に納得できる形での合意を目指します。

また、最近はクラウドサービスを利用するケースも多いためJNSA（日本ネットワークセキュリティ協会）が出している「外部委託先管理規程」を参考にクラウドサービスの利用に関する遵守事項を定めるのも重要です。

参考：https://www.jnsa.org/result/2016/policy/data/03.pdf

セキュリティレベルを維持するために必要なことは、前述の内容以外にも存在します。

＜選定＞

選定時点では多数ある委託先の中からすべてに対してアセスメントを行うのも非効率です。その場合、簡易的なフィルタとして機能するのが認証制度です。ISMS認証やPマークの取得などが行われていれば一定程度の情報セキュリティレベルの維持が保証されていることになるので一次フィルタとして機能します。

＜契約＞

契約時に用いる契約書の見直しも重要です。機密保持に対する条項が含まれているかどうか、さらにその中に再委託等に関する条項が含まれているかどうかなどを確認します。再委託の場合も、再委託先に対する監督責任、同レベルでの機密保持体制の確約、再委託先の瑕疵（かし）による損害発生時の責任についてなどを明記することでトラブル発生時のリスクを下げられる他、相手方へのセキュリティ体制が甘くなることに対する抑止力としても働きます。

＜運用＞

契約時に取り交わされた体制が正しく運用されているかどうかについて定期的な監査を行いセキュリティレベルの維持、向上が図られているか確認します。時間経過とともに受託先でも組織体制や執務環境に変更があり当初の取り決めとは状況が異なるケースが発生しがちです。定期的な監査を行い、実態に合わせて相互にセキュリティレベル維持に努めることが重要です。

ITサプライチェーンはさまざまなリスクを内包しています。ただし、外部に委託することで得られるメリットも大きいのでリスクがあるからと敬遠するのもあまり正しい判断ではありません。

リスクを把握し、適切な対処を行うことでインシデントの発生確率を低減することが情シス担当としてのあるべき役割といえます。

その際には委託先任せにしてブラックボックスを作るのではなく、自社主導によってきちんと情報を集めたうえで判断することが重要となります。

ウイルスバスター™ビジネスセキュリティサービス（VBBSS）は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。

また、従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。

Trend Micro Cloud App Security™（CAS）はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。

※すべての未知の脅威に対応するものではありません

また、トレンドマイクロではExchange Onlineを使用しているお客さま向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。

ご活用いただける環境にありましたらぜひお試しください。

Trend Micro Security Assessment Service™は企業が直面する高度な脅威から効果的に守られているかどうかを確認できるMicrosoft 365のメールサービス (Exchange Online) 向けの無料メールセキュリティ評価サービスです。

検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。