Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

委託時のセキュリティ責任、「知識不足」で不明瞭に

専門知識やスキルの不足が原因で、業務委託においてセキュリティに関する情報共有やインシデント対応などの責任範囲が不明瞭となってしまうケースが目立っている。

情報処理推進機構(IPA)が、2018年10月から2019年2月にかけて実施した「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」によって判明したもの。

同機構では、2017年度に委託元と委託先間の情報セキュリティ上の責任範囲について調査を実施。責任範囲が明確となっていない企業が多いとの結果が出たことから、さらに原因を明らかにするため今回の調査を実施。ユーザー企業417社およびITシステム、サービス提供企業428社が回答した。

委託元が文書で明確にしているセキュリティに関する要求事項において、「あらたな脅威が顕在化した際の情報共有、対応」について記載している企業はわずか20.1%にとどまり、記載がない組織が約8割にのぼる。「インシデントが発生した場合の対応」に関しても、記載していた企業は37.1%で、6割超は定めがなかった。

20190422_ip_001.jpg
委託元が文書として明確にしているセキュリティの要求事項(グラフ:IPA)

(Security NEXT - 2019/04/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2018年「セキュリティ10大脅威」 - 注目高まる「サプライチェーン攻撃」
マイナンバー再委託問題でPマーク認定事業者に注意喚起 - JIPDEC
「認定送信型対電気通信設備サイバー攻撃対処協会」にICT-ISACを認定 - 総務省
行政や独法の個人情報委託先、68件で契約違反の再委託
38%の企業がセキュリティ投資を増額 - それでも65%は「不足」
外部委託先を6割弱が「Excel」で管理 - 「紙」は31.9%
対応コストともなう「サイバー攻撃」「内部犯行」、43.9%が経験
毎月100件超のウェブ改ざん、委託状況含めてチェックを
総務省、NTT東に行政指導 - 光回線卸売情報の目的外利用で
2017年度の情報セキュリティ市場は9965億円 - 前年度比483億円増と堅調