【CSIJコラム28(2025,2,10)】
「委託先セキュリティチェックに求められる2つの観点」
エムオーテックス株式会社
サイバーセキュリティ本部
エキスパート
小関 直樹
今年もIPA(情報処理推進機構)から「情報セキュリティ10大脅威 2025」が公表されました。そして、組織編の2位には、昨年と同じく「サプライチェーンや委託先を狙った攻撃」が入っています。
思い返せば、10大脅威に初めて「サプライチェーンの弱点を悪用した攻撃の高まり」がランクインして話題となったのは2019年でした。それ以降、サプライチェーン攻撃はすっかり10大脅威の常連となっています。10大脅威入りをきっかけとして、サプライチェーンリスク管理を強化した組織も多かったことでしょう。
組織が業務委託先のセキュリティ対策状況を把握しようとしたとき、1年に1回など定期的にセキュリティチェックを実施することが推奨されています。しかし、このセキュリティチェックで何をチェックすべきなのかについて、共通認識が十分に確立されていないように思います。
「いやいや、そんなことはないだろう」とお感じになるかもしれません。たしかに、インターネットで検索すればセキュリティチェックシートのサンプルは複数見つかりますし、私自身が自社、または支援するお客様において、委託元から受け取るセキュリティチェックの項目は、どれも似たような内容です。例えば、以下のような設問は標準的なものと言えそうです。
-
情報セキュリティに関する方針やルールを定め、文書化していますか?
-
インシデントが発生した場合の報告手順や対応体制が定められていますか?
-
オフィスや執務室の入退管理を行っていますか?
-
内外ネットワークの境界にファイアウォール等を設置し、外部からの不正アクセスを遮断していますか?
-
情報システムのOS・ミドルウェア・ソフトウェアの脆弱性に対し、パッチ適用等の対策を実施していますか?
こうした項目は、委託先の「組織全体としての」対策レベルを把握する上では確認しておきたい事項です。しかしながら、これらを確認したとしても、「個々の委託業務で」必要なセキュリティ対策が実施されているかは担保されません。
個々の委託業務では、業務内容や取り扱う情報の重要度に応じて、委託元から要求されるセキュリティ対策が異なります(そうあるべきです)。それらは委託業務ごとに定めるべきものですが、こうした個別の対策の遵守状況についても、セキュリティチェックでは併せて確認する必要があると思うのです。具体的には以下のような設問です。
-
本委託業務における情報セキュリティ対策の責任者を定めていますか?
-
本委託業務における情報セキュリティに関するリスク評価を実施していますか?
-
本委託業務で提供された情報について、要員以外のアクセスを禁止していますか?
-
本委託業務で再委託を実施する場合、(事前の取り決めに従い)委託元に報告し、承認を得ていますか?
-
本委託業務でインシデントが発生した場合、(事前の取り決めに従い)〇日以内に委託元に報告していますか?
いずれも、組織全体ではなく、特定の委託業務にフォーカスしていることがお分かりいただけると思います。
前者を「組織全体の観点」、後者を「委託業務ごとの観点」と位置づけたとき、現状広く行われているセキュリティチェックは、「組織全体の観点」に偏った内容が多いと感じます。なぜなら、「委託業務ごとの観点」は、セキュリティチェックシートの定型的なサンプルには含めづらいからです。そのため、セキュリティチェックを実施している委託元が、その必要性を認識できていないケースが多いと考えられます。
その結果、委託先の側でも、どの部門がセキュリティチェックに対応すべきかで軋轢が生じたり、「組織全体の観点」での設問に現場部門が回答しようとしてもできなかったり、あるいはコーポレート部門が回答しようとして、組織全体と特定部門のいずれの状況を回答すべきか迷ったりと、不都合が生じやすくなっているのではないでしょうか。
委託元が「組織全体の観点」と「委託業務ごとの観点」を明確に区別してチェック項目を作成できれば、委託先でもしかるべき部門が正確な回答をしやすくなります。例えば、「組織全体の観点」についてはコーポレート部門間でチェックを行い、「委託業務ごとの観点」については現場部門間でチェックを行うという選択肢もありそうです。委託元としてセキュリティチェックを行う場合には、こうした考えも考慮してみてください。
CSIJとしても、サプライチェーンリスク管理について提言する際には、2つの観点を整理してお示しできればと考えています。