Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

委託先企業のセキュリティは無条件に信じてはいけない。

IPAの調査結果を見ると海外企業が考えているセキュリティと日本企業のソレに差分を感じました。

japan.zdnet.com

◆調査結果(IPA)

「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書について:IPA 独立行政法人 情報処理推進機構

 

f:id:foxcafelate:20180331133349j:plain

業務委託先でのインシデント発生が3年間で16.4%。この数字が大したことが無いと思われる方も多いかと思いますが、10年ベースだと半分以上の企業がインシデントが発生する計算になり、無視して良いデータではないと思います。しかし、システム障害が主なインシデント内容となっていますので、ASPサービス利用あるいは業務サーバのデータセンタ利用における、DDoS攻撃によるサービス停止などがこの中にかなりの部分含まれていますので、情報漏えいを含めた大きなインシデントという訳ではないのかも知れません。

f:id:foxcafelate:20180331133604j:plain

一方で受託企業側でのデータでは、インシデントは21.3%となっており、委託元よりインシデントが発生している事も分かります。また再委託先以降でもかなりインシデントを経験している結果となっています。この差分は何であるか・・は委託先企業が関係ない、受託企業側だけのインシデントも含まれてますので、必ずしもそうとばかりは言えないのですが、このデータの裏側には「隠しているインシデント(インシデント寸前の事件)」もありそうです。

 

この原因は何であるか、報告書では考察もあり、いくつかの可能性が伺えますが、委託先に対する管理責任が曖昧である企業が多いのかと思います。業者任せである事は、それまでに培った信頼関係の証かも知れませんし、業務委託契約等々でそうしたリスクはカバーされているものだとは思いますが、このご時勢、委託元がセキュリティに対するしっかりとした知見を持っているべき、それが業務発注側の責務ではないでしょうか。

 

委託元企業(の担当)がセキュリティに対する意識が低いと感じるデータがありました。それが仕様書でのセキュリティ対策の明記の設問です。3割しか委託先のセキュリティを考慮していません

 

f:id:foxcafelate:20180331133931j:plain

調査対象がITシステムやサービス提供会社という事もあり、委託や再委託が普通な点も影響している気がしますが、先日の日本年金機構の中国業者への業務再委託事件などを考えると、「それで良いのでしょうか?」と聞きたくなる数値です。特に製造業と小売業の意識の低さは、業界としての課題と言っても良さそうです。

余談となりますが、私が大手企業の方と話をしていて、『セキュリティ対策にはお金をかけない』と話される方は未だに結構いらっしゃいます。その方の会社のセキュリティ対策は(情報システム部門が頑張って)しっかりしているものと信じてはいますが、(業務発注)担当の方でセキュリティへの意識が低い方は、『コストしか見ない』傾向が強い気がします。そこも調査結果に出ていました。

 

f:id:foxcafelate:20180331135107j:plain

 

セキュリティ対策コストは社内に説明できない」。この言葉に尽きるのでしょうが、例えば無料のアンチウィルスソフトがあっても、多くの企業の方はサポートや安心を買って有償版のアンチウィルスソフトを選ばれれていると思います。それと同様に企業のサービスや資産を守るためには・・・委託先選定にセキュリティ対策が含まれているべきであり、その安心を買うには一定の対価が必要のではないでしょうか?

『社内で理解されない』ので、セキュリティ対策には目をつぶり、コストが安い所を使うのは経済的には合理的な理由があります。とは言え、先日も日本年金機構の委託先企業が中国の再委託先を使っていて問題となりましたが、それによって生じるリスクも併せて検討した上で、コストが安い所を使う判断をしてない企業がとても多いようです。

委託先の情報セキュリティに関する取り組みについては、委託元にも業務委託(先監督)の責任があるのですから、委託先のセキュリティ対策についてのリスクを正しく把握する、すなわち『委託先企業を信じない』観点が必要となってきているのではないでしょうか。

 

更新履歴

  • 2018年3月31日PM(予約投稿)