委託時のセキュリティ責任、「知識不足」で不明瞭に

専門知識やスキルの不足が原因で、業務委託においてセキュリティに関する情報共有やインシデント対応などの責任範囲が不明瞭となってしまうケースが目立っている。

情報処理推進機構（IPA）が、2018年10月から2019年2月にかけて実施した「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」によって判明したもの。

同機構では、2017年度に委託元と委託先間の情報セキュリティ上の責任範囲について調査を実施。責任範囲が明確となっていない企業が多いとの結果が出たことから、さらに原因を明らかにするため今回の調査を実施。ユーザー企業417社およびITシステム、サービス提供企業428社が回答した。

委託元が文書で明確にしているセキュリティに関する要求事項において、「あらたな脅威が顕在化した際の情報共有、対応」について記載している企業はわずか20.1％にとどまり、記載がない組織が約8割にのぼる。「インシデントが発生した場合の対応」に関しても、記載していた企業は37.1％で、6割超は定めがなかった。

委託元が文書として明確にしているセキュリティの要求事項（グラフ：IPA）

（Security NEXT - 2019/04/22 ） ツイート

PR

関連記事

LINEヤフーに再度行政指導 - 報告受けるも対応や計画不十分
個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超
個情委、「LINE」情報漏洩でLINEヤフーに勧告 - 「ヤフオク！」に関する指導も
JPCERT/CCが攻撃相談窓口を開設 - ベンダー可、セカンドオピニオンも
総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」
先週の注目記事（2024年2月25日〜2024年3月2日）
約596万人分の個人情報持出、NTTドコモらに行政指導 - 個情委
経営者が想定すべきインシデント発生時のダメージ - JNSA調査
メタバース内に「警視庁サイバーセキュリティセンター」を開設
住民票の誤交付問題で富士通Japanに行政指導 - 個情委