Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

委託する意味を考える時がきた - アウトソーシングとセキュリティ

業務委託(アウトソーシング)といえば、企業の合理化を推進する上で、重要な戦略として数多くの企業に採用されている。

基本的にアウトソーシング事業者は、それぞれの事業に特化している。そのため、企業内で処理をするよりもリーズナブルで、最新設備が装備されていたり、独自のノウハウなど、より高度なサービスを提供しているケースが多い。

企業の競争力を高めるためにも、「業務委託」抜きでは考えられない時代だ。なかには、基幹業務さえ、委託する企業も現れている。

外部委託すれとなれば、自社内の機密情報や個人情報を提供することも多い。個人情報保護法では、外部委託業者の監督責任が問われるのはご存じの通りだ。もちろん、法律だけでなく、消費者からも企業における情報管理の徹底が求められており、この流れは今後変わらないだろう。業務委託を行う際も、慎重な選択が求められている。

日弁連のシンポジウムにて

12日1日、日弁連コンピュータ委員会が東京霞ヶ関にてシンポジウム「個人情報漏洩事件とその対策」へ参加した。IT関連の判例紹介や個人情報漏洩事件簿といった講演で構成されていたが、なかでも印象的だったのは、ヒューレットパッカードの佐藤慶浩氏による講演「情報漏洩の企業における管理策」だった。

同氏の講演では、企業がどのように個人情報を扱っていくか、大まかにまとめたものだったが、業務委託に関する意見には非常に共感した。同氏の意見とは、ローコストという観点から業務委託を選択していけば、セキュリティレベルが低い業者ばかりが集まってしまう、というものだ。

従来、裏方であるセキュリティは、コストの増加要因として無視されることも多かった。価格で業者を選べば、セキュリティへコストをかけていない事業者のみ、選択肢に残ってしまうというわけだ。セキュリティには必ずコストがかかる。もし、必要以上に安ければ「ウラがある」というわけだ。

とはいえ、企業の担当者は、「できるだけ低いコストを押さえろ」という絶対命題が科せられている。興味深かったのは、それら問題をHPがどう回避しているかだ。

同社では、契約書にセキュリティの内容を事細かに記す必要があり、万が一契約書上に記載がない形で漏洩事故した際は、「契約を締結した担当者のミス」として、社内処分の対象となるという。

具体的なセキュリティの契約内容を契約書に記載することは、責任関係が明確になるため、非常に効果的だ。また、同社の手法を用いれば、担当者が外部業者を選定する際、「価格」といった一面的な視野ではなく、リスク回避など、多角的な視野から取り組まざる得ない。

また同氏は、賠償責任のみの記載では、下請け、孫請け、ひ孫請けとリスクも転嫁され、最終的に回収できないケースもあることを指摘している。たしかに、補償されるかわからない賠償責任では、リスクは放置されたのと同じだ。しっかりとセキュリティ状況を確認しながら契約することが重要となる。

企業は社員へスタンスを示すことが重要

とはいえ、課題もある。まず、セキュリティを重視した業務委託を行うのであれば、増加するコストを企業が認め、前向きに負担しなければならない。

そして、「どのようなセキュリティ対策が必要であるか」「どのような基準でセキュリティ対策を取捨選択するか」「どの程度の具体性を持たせるか」企業のスタンスを決めなくてはいけない。

というのも、ウェブアプリケーションなど、IT関連技術の場合、日々新しい脆弱性が報告されている。これら脆弱性への対応まで細かく記載していくとなれば、非常に煩雑な作業となるし、毎回契約書を見直しを行うのも現実的でない。対応が必要な脆弱性と、不要な脆弱性の取捨選択も必要となるだろう。

一方、抽象的な表現に止まれば、セキュリティ対策も漠然としたものとなる可能性もあり、これでは元の木阿弥だ。非常にバランスが難しい。

この点については、今年5月に開催された「Web Application Securityフォーラム コンファレンス」における高木浩光氏の講演「安全なWebアプリ発注の適正価格化に向けて」でも、ウェブアプリのセキュリティを踏まえた基準価格が必要ではないかと、問題として提起されている。

参考記事:セキュリティ対策にはコストがかかる
http://www.security-next.com/000518.html

もちろん、業務ごとにセキュリティ対策は異なるし、シンプルなセキュリティ対策を示せば済む場面もある。一方で、非常に煩雑となるシーンがあるのも事実だ。

委託する意味を考える時がきた

従来の「安価重視」から、「コストパフォーマンス重視」へシフトしなければいけない時代が来ている。特にリスク評価を重視する仕組みを導入していなければ、気が付かないところでリスク増大に繋がっていく。

業務委託において、従来の「金額絶対主義」から脱出するには、企業としてはコストとセキュリティのバランスを計る客観的かつ合理的な指標を用意することが最低条件だ。業務委託する内容によっても、セキュリティの重要度は変化するし、指標がなければ、担当者ごとに評価の「ゆれ」が発生し、リスクコントロールはうまくいかないからだ。

外部委託は何かしらのリスクが伴う。これは当たり前のことだし、許容しなければ、企業として生き残ることはできない。だからこそ、「なぜ、業務を委託するのか」それを考えるべき時が来ている。

(Security NEXT - 2004/12/09 ) このエントリーをはてなブックマークに追加

PR

関連記事

腕の動きやデバイス角度などで「なりすまし」を検知するモバイル向けSDK
広く利用される暗号化ライブラリに脆弱性「ROCA」 - 鍵長1024ビットなら解析コストは1万円以下
4割弱が物理的なウェブカメラの覗き見対策を実施
CiscoのNFVプラットフォームに深刻な脆弱性 - アップデートがリリース
「ReadyNAS Surveillance」の脆弱性に対する攻撃 - 継続的に観測
NEC、顔認証機能をクラウドで提供 - 顔認証ソフトの強化も
市有地売却先に用地取得関連の情報含む書類を置き忘れ - 大阪市
Oracle、Java SEに関する脆弱性22件を修正
Oracle、定例アップデートで252件の脆弱性に対応 - 半数弱が「緊急」または「重要」
バリオセキュア、ウェブのセキュリティ診断サービスを開始