IPAは「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」の最終報告を4月7日に公開した。
一度目の緊急事態宣言から一年が経過したが、緊急事態宣言により短期間でテレワークを導入したり、テレワークの利用頻度が急激に増加したりなど、組織は世の中の状況に合わせた対応を余儀なくされている。
このような背景の中、ICTの環境整備が優先され、セキュリティ対策が後回しになっているだけでなく、ITサプラチェーンにおける業務委託契約でも委託先*1と委託元*2の間で業務実施場所やコミュニケーションの方式等について整合ができていない可能性がある。
[*1] 委託先:顧客(委託元)からITシステム・ソフトウェアの製造・開発・保守等を受託している、もしくはITサービスを提供しているIT企業
[*2] 委託元:IT企業等に対して ITシステム・ソフトウェアの製造・開発・保守・運用等を発注・委託している、ITサービスの提供を受けている組織および企業
そこでIPAでは「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」として、テレワークの実施状況、ルールの策定状況や遵守状況、テレワークの実施に伴う業務委託などについて個人及び組織に対するアンケート調査と、インタビュー調査の結果を公開している。
「貴社では、社員の間でテレワークに関する社内規程・規則・手順等が守られていることを何らかの方法で確認していますか(いましたか)。」という設問に対する回答は、「確認していない(いなかった)」が委託先では33.6%、委託元では54.6%という結果になった。
委託元の半数以上がテレワークに関する規定などが守られていることを確認していないと回答しており、規定や手順が取り決められていても、遵守状況を確認できていないことにより、内部不正の機会が増加や、気づかないうちに規定に違反していることが原因でセキュリティインシデントが発生するなどの恐れがある。
「貴社では2020年4月1日から現在までの業務委託契約において、貴社と委託元/サービス利用先(または委託先/サービス提供元)との間の契約書・仕様書/利用規約・SLAの中で、貴社に対する以下に示すような情報セキュリティ上の要求事項についての取り決めがありましたか。(複数回答)」に対する回答は以下の図のとおり。
IPAでは、業務委託契約を行う上でのテレワークの導入、BYODの使用などに関する業務委託契約上の要求事項について検討が進んでいないことがうかがえる、とコメントしている。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
