サプライチェーンリスク、8割弱が認識 - 対策状況把握は「直接委託先のみ」が6割

委託先におけるセキュリティ対策の把握状況（グラフ：IPA）

セキュリティ対策の状況を把握している範囲について、「直接の取り引きがある委託先のみ」が60％で、「再委託先まで把握」が18％、「再々委託先以降も把握」が7％だった。また14％が「いずれも把握していない」と回答した。

再委託を行っている企業のうち、再委託の許可を与える場合に委託先に課しているセキュリティ管理の条件でもっとも多かったのは「事前の了解を得る」で66％。一方、「再委託先に委託先と同一のセキュリティルールを遵守させる」は35％にとどまった。

委託先が遵守すべきセキュリティ管理を定めたルールについて、「全社で統一されたルールを整備」している企業は57％と半数を超えた一方、9％が「ルールを整備していない」と答えた。7割前後の企業が、ルールを徹底するため「証跡の提示」「現場訪問による確認」「普及、教育の実施」を定期的に実施している。

委託先の選定時に、セキュリティの観点で重視していることでは、93％が「情報セキュリティ事故の有無」、92％が「情報セキュリティ管理」を挙げた。また、86％が「情報資産の管理」「情報セキュリティ自己への対応体制」を重視している。

再委託の許可を与える場合に委託先に課しているセキュリティ管理の条件（グラフ：IPA）

（Security NEXT - 2017/04/03 ）ツイート