IPA、「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書を公開

EnterpriseZine / 2019年4月19日 14時45分

委託元が文書で明確にしているセキュリティに係る要求事項

 IPA(情報処理推進機構)は、「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」を実施し、その報告書を4月19日に公開した。

 ITサプライチェーンにおいて、例えば標的型攻撃などのインシデントが発生した場合、関係する複数組織への被害拡大の懸念、および原因究明の難しさがかねてより指摘されている。

 そこで、IPAでは2017年度に委託元、委託先間の情報セキュリティ上の責任範囲について調査を行った。その結果、責任範囲が不明確であることが明らかになった。これを受け、2018年度はその原因を明らかにし、解決策を導き出すための調査を実施した。

 調査の結果明らかになったポイントは次のとおり。

 1.「新たな脅威が顕在化した際の対応」について責任範囲の明記がない割合は8割(委託元)
委託元が文書で明確にしているセキュリティに係る要求事項

 2. 責任範囲を明確に出来ない理由は知識・スキル不足が最多で79.6%(委託元)

委託元が責任範囲を明確に出来ない理由

 3. IT業務委託契約においてリスク低減を目的に複数の対策を実施(委託先)

 4. IT業務委託契約時に責任範囲を記述している文書は「契約書」が最多(委託元)

 5. 責任範囲を明確にするには「契約関連文書の雛形の見直し」が最も有効(委託元)
責任範囲を明確にするために有効な施策(複数回答)

 以上のことから、①新たな脅威(脆弱性等)やインシデント対応について責任範囲が明確にできていない、②委託元の知識・スキル不足により責任範囲を明確にできない、③責任範囲を明確にするには、契約関連文書の見直しが、委託元、委託先にとっても有効である、ということが分かった。

 他方、2017年5月に民法が改正され(原則的施行日は2020年4月1日)「瑕疵担保責任」が「契約不適合責任」に変更された。これにより、契約時における契約内容の明確化がより一層求められるようになる。

 約1年後の民法改正施行を見据え、雛形を含む契約関連文書の見直しの検討が急がれる。IPAでは、今後ITサプライチェーンの情報セキュリティ対策の状況把握や対策実施の推進に向けて、関連する調査・分析を行っていくという。

EnterpriseZine編集部[著]

【関連記事】
国内のHCI利用率は20%超、利用意向を有する回答者は65%近くに達する――IDCがHCI利用動向調査結果を発表
ハイブリッドクラウド構築では、セキュリティ強化、運用管理などITインフラコスト最適化を重視――IDC利用動向調査
リスク管理者の81%が既にAIの価値を実感、対象企業の半数以上がAIに必要なスキル不足を懸念――SAS、GARP調査
5G、AI、量子コンピュータなど、世界的動向に日本企業はどう対応すべきか――デロイトトーマツがレポートを公表
国内IoTエッジインフラベンダー選定基準、「IoTの技術力」「ユーザー業務の理解度」を優先――IDCがユーザー調査

■記事全文へ

この記事に関連するニュース

トピックスRSS

ランキング