ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査-IPA

2020年4月7日一度目の緊急事態宣言による長期間の外出自粛の要請が発出されてから早一年が経過。その後、一度目の緊急事態宣言が解除された後も”新しい生活様式”の一部としてテレワークは継続されており、それだけでなく業務実施場所の多様化やコミュニケーションのオンライン化などの新しい働き方は不可逆的な変化として定着するものと思われる。

緊急事態宣言発令によりCOVID-19対策として短期間でテレワークを導入、もしくは元々テレワークという制度は導入していたものの、積極的な利用とはなっておらず、利用頻度が急激に増加したことで見直しを余儀なくさるなど、組織は世の中の状況に合わせた対応が必要であった。
このような背景もあり、ICTの環境整備が優先され、セキュリティ対策が後回しになっているだけでなく、ITサプラチェーンにおける業務委託契約でも委託先(*1)と委託元(*2)の間で業務実施場所やコミュニケーションの方式等について整合ができていない可能性もある。

そこでIPAは「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」を実施している。
昨年12月に公開された個人への調査結果、および本年1月に公開した組織への調査結果における中間報告に続き、調査全体の最終報告が公開された。

サマリー
・規定やルールの曖昧さ、実態とのかい離有、委託元は更に従業員の理解、周知が課題
・BYODのルールを決めていない企業が一定数存在
・BYOD利用時に組織が感じている課題
・BYODを利用して業務を実施する際に会社でルールが無くても個人で実施しているセキュリティ対策
・テレワークに関するセキュリティ対策の規定・規則・手順などの取り決めの状況
コロナ禍でのセキュリティ対策の特例が現状も継続
・半分以上の委託元がテレワークに関する社内規定・規則・手順の順守確認を実施していない
・ルール策定状況の違いによる遵守困難・急速な行動の変化に伴うIT知識の不足
ニューノーマルに対応した業務委託契約は進んでいない
・ITサプライチェーンにおける業務委託契約時のセキュリティ確保の増加

 

コロナ禍におけるニューノーマルな状況にあっても、委託元・委託先がお互いの業務環境やルールについて十分に整合をした上で業務委託契約の内容を取り決めることが大切である。今回の調査結果は情シスにとっては気になる内容も多いと思われるが、今回は新たに明らかになったポイント中心にいくつか紹介する。時間が許す限り、資料をダウンロードし、その内容について目を通すことをオススメする。

*1 委託元:IT企業等に対して ITシステム・ソフトウェアの製造・開発・保守・運用等を発注・委託している、ITサービスの提供を受けている組織および企業
*2 委託先:顧客(委託元)からITシステム・ソフトウェアの製造・開発・保守等を受託している、もしくはITサービスを提供しているIT企業

 

前説:テレワーク実施状況

調査結果の紹介に入る前にアンケート回答企業がどのようにテレワークに取り組んでいたのかを確認しておくことにする。

1.テレワークの導入状況

まずはテレワークの導入が委託先/委託元でどのように実施されているか質問している。興味深いことに委託先のテレワークの実施割合が約9割と、委託元(約5割)よりも高いことが明らかになった。

図1:テレワークの導入状況

2.テレワークの導入時期

テレワークの実施経験がある組織の内、委託先は約5割、委託元は約6割が緊急事態宣言発出以降にテレワークを導入している。
この結果から、緊急事態宣言をきっかけとしてテレワークへ急速に移行した組織が多いと仮定できる。

図2:テレワークの導入時期(実施経験ありの企業)

 

調査結果のポイント

1.会社が許可していないアプリケーションやサービスの業務利用を一時的に「やむを得ず」認め、現在も認めている

少し大げさかも知れないが、人命優先措置としてテレワークを緊急導入した企業も多数あるであろう。前述のテレワークの導入時期からも分かるようにテレワークにおける業務遂行を優先したことで、一時的にアプリケーション・ソフトウェア・クラウドサービスなどの利用をやむを得ず認め、現時点(2020年10月31日時点)も継続して認めている組織が一定数存在している。
そのような場合、本来は許可していない状況がその後も継続していることで、セキュリティ面での問題が放置されている恐れがある。
利用禁止に戻す、またはセキュリティに問題が無い事を確認し、改めてルール化した上で利用を許可するなどの対策の実施が急務である。


図1:会社が許可してないアプリケーション・ソフトウェア・クラウドサービスの業務利用

2.半分以上の委託元がテレワークに関する社内規定・規則・手順の遵守確認を実施していない

また「社員の間でテレワークに関する社内規程・規則・手順等が守られていることの確認」についても質問している。
その結果、委託元の半数以上がテレワークに関する規定などが守られている事を確認していないと回答している。


図2:テレワークに関する社内規定・規則・手順等が守られていることの確認状況

規定や手順が取り決められていても、遵守状況を確認できていないことにより、内部不正の機会が増加や、気づかないうちに規定に違反していることが原因でセキュリティインシデントが発生するなどの恐れがある。
また、「確認していない」という回答について委託元と委託先の差が21ポイントあり、委託元と委託先での確認の実態が大きく異なっている。
業務委託契約を締結するにあたり、委託先と委託元の間でテレワークの規定有無の確認および遵守状況の実施状況についても話し合っておくことが重要である。
(今回の結果についてはテレワークの実施割合の違いが、確認意識の違いにも表れているように感じる)

3.ニューノーマルに対応した業務委託契約は進んでいない

更に業務委託契約において、契約書・仕様書/利用規約・SLAの中で、情報セキュリティ上の要求事項についての取り決めの有無についても確認している。


図3:2020年4月1日から10月31日までの業務委託契約で委託元が取り決めたセキュリティ要求事項

業務委託契約を行う上でのテレワークの導入、BYODの使用などに関する業務委託契約上の要求事項については検討が進んでいないことが伺える。
その一方、これらの要求事項について検討する必要性は感じている結果が見えていること、さらには有識者からの指摘事項などから、今後ニューノーマルに関するセキュリティ精査・強化が進むことが考えられる。
通常オンサイトでの業務実施が当たり前だった業務委託作業についても、今後はテレワークの作業となる、または、状況によりオンサイトとテレワークの両方で作業されることなどが想定される。
業務委託契約を締結するにあたり、委託先と委託元の間で業務環境やテレワーク実施の可否、BYODの使用の有無について話し合っておくことが情報セキュリティ上、重要である。

【報告書ダウンロード】 ※外部サイトへ移動します

最終報告書:調査報告書「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」

本内容は、IPA様のプレス発表内容を元に作成しております。
ソース:https://www.ipa.go.jp/security/fy2020/reports/scrm/index-final.html

<類似記事>

  1. ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査-IPA
  2. テレワークとIT業務委託のセキュリティ実態調査-IPA
  3. 「サプライチェーン」の侵害が顕在化:国内における標的型攻撃(2020)-セキュリティブログ
  4. 国内AIシステム市場予測-IDC
  5. 最も危ういPCプログラムのトップ10 フレクセラが2016年の調査結果を発表

関連記事

トップページに戻る

情シス求人

  1. 登録されている記事はございません。
ページ上部へ戻る