Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

委託先の選定、セキュリティ対策が最優先とする企業は4.6%

業務委託先を選定する際、「情報セキュリティ対策の実施状況」や「認証の取得状況」を最優先と考える企業は、わずか4.6%にとどまることがわかった。

情報処理推進機構(IPA)が、資本金3000万円以上で従業員50人以上の企業を対象に、2017年10月から2018年2月にかけてアンケート調査を行い、結果を取りまとめたもの。調査票を送付し、調査票の返送および専用ウェブサイトによる回答を併用する形で実施した。

委託先の選定で重視する点を尋ねたところ、回答のあった499社のうち62.3%が「業務の品質、価格、納期」をもっとも優先すると回答。一方、「情報セキュリティ対策の実施状況や認証の取得状況」を最優先するとの回答は4.6%にとどまった。

セキュリティ対策や認証取得を2番目に優先するとの回答も10.2%と1割強に過ぎず、優先事項の上位4番目まで入る企業は約半数にとどまった。

20180326_ip_001.jpg
委託先の選定において重視する項目(グラフ:IPA)

委託先が実施すべき具体的なセキュリティ対策を仕様書などに明記している企業は29.5%。69.1%は「明記していない」と回答。

要求するセキュリティ対策に委託先が対応できない場合、「情報セキュリティ対策の代替案の提案を求める」が60.3%を占めたが、「委託先を変更する(18.8%)」「業務委託をやめる(8%)」など、委託を見直すところもあった。

委託先との契約に含まれる情報セキュリティの要求事項では、「秘密保持」が94%。以下、「契約終了後の情報資産の扱い」が43.9%、「情報セキュリティに関する契約内容に違反した場合の措置」が35.9%だった。

委託先との契約において、情報セキュリティの観点で課題と考える項目では、「情報セキュリティの責任範囲がわからない」が54.5%で最多。「実施すべき具体的な情報セキュリティ対策が明示されていない」が47.3%、「情報セキュリティ要件として何を取り決めるべきかわからない」が40.7%で上位に入った。

20180326_ip_002.jpg
委託先との契約における課題(グラフ:IPA)

(Security NEXT - 2018/03/26 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「WannaCrypt」騒ぎから約1年、GWに向けてセキュリティ対策の確認を
過去3年間に18.2%の企業が委託先などでのインシデントを経験
約147万のJPドメイン、「SPF」設定は半数弱 - 「DMARC」は約0.5%
日立と慶大、「分散型セキュリティオペレーション」構想を提唱 - インシデント対応を迅速化
年末年始の休暇は平均6.1日、事前対策徹底を - 休暇明けには月例パッチも
過去1年間に被害に遭ったPCユーザーは約4割 - 平均被害額は5.3万円
総務省、テレワーク推進に向けた専門家派遣の申請受付を開始
2016年度のマイナンバー関連事故は165件 - 6件が「重大な事態」
サプライチェーンリスク、8割弱が認識 - 対策状況把握は「直接委託先のみ」が6割
分散エージェントの並列化で成長 - ウェブ攻撃対策ソフトの開発プロジェクト「WarpDrive」が始動