【連載第6回】つながりを守る!委託先管理とサプライチェーン対策
第1回で紹介したトヨタのサプライチェーン攻撃事例が示すように、自社のセキュリティがいくら万全でも、取引先や委託先がセキュリティホールになる可能性があります。
第6回では、委託先を含めたサプライチェーン全体のセキュリティ管理について解説します。
サプライチェーンリスクとは
現代のビジネスは多数の企業が連携して成り立っています。自社のセキュリティだけでなく、以下のような「つながり」すべてがリスクとなり得ます。
- 業務委託先: システム開発、データ入力、コールセンターなど
- クラウドサービス: SaaS、IaaS、ホスティングサービス
- 協力会社: 清掃業者、配送業者、設備保守業者
- 取引先: 受発注システムの接続先
委託先選定時のチェックポイント
新たに委託先を選定する際、価格や納期だけでなく、セキュリティの観点からも評価することが重要です。
- プライバシーマークまたはISMS認証を取得しているか
- 情報セキュリティポリシーが策定されているか
- インシデント発生時の連絡体制が整備されているか
- 再委託の有無と管理方法は明確か
- 契約終了時のデータ返却・削除の手順は明確か
契約に盛り込むべきセキュリティ条項
- 秘密保持義務の範囲と期間
- セキュリティ対策の実施基準
- インシデント発生時の報告義務と対応
- 再委託の制限と承認手続き
- 監査権(委託先のセキュリティ対策を確認する権利)
- 契約終了時のデータ処理方法
クラウドサービスのリスク管理
SaaSの利用が増える中、クラウドサービスのセキュリティ評価も重要です。サービス選定時は、SLA(サービスレベル契約)、データの保管場所(国内/海外)、バックアップ体制、障害時の対応などを確認しましょう。
まとめ
サプライチェーン全体のセキュリティは、自社だけでは完結しません。委託先・取引先との「信頼関係の可視化」が重要です。
次回は、テレワークとクラウド環境における安全な利用方法を解説します。
まとめ・ご相談
セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。
貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。