委託先のセキュリティ管理の課題とは?
- 委託先企業に適用する「情報セキュリティ対策基準」が、全社として統一されたものがない。
- 全社として統一された対策基準はあるが、個々の委託先企業に求める対策の判断が現場に任されている。そのため、対策基準を十分に満たしていなかったり、委託先企業毎に異なる管理レベルになっていたりする。
- 業務委託を開始した際には対策基準が満たされていることを確認したが、定期的な確認を行っていない。その結果、実態として、対策基準のレベルが維持される運用になっていなかった。
- 別部門から同一の委託先企業へ委託している場合に、それぞれの部門から同じような確認をしている。(委託元と委託先の双方の負荷が高い)
企業が委託先管理を行ううえでの3つのポイント
ポイント① 委託先企業に適用する情報セキュリティ対策基準の統一
情報セキュリティ対策基準が全社で統一されていない場合、各部門が独自に定めた対策基準で、委託先企業を評価することになってしまいます。
場合によっては、適切な「リスク評価」をせずに、対策基準を定めてしまっている可能性もあります。リスク評価が不十分だと、本来対策基準の中できちんと対策しなければいけないリスクが放置されてしまい、大きな被害が発生してしまうおそれがあります。
こうしたケースでは、全社のリスク管理の主管部門が十分なリスク分析をしたうえで、全社として統一的な対策基準を整備し、かつ、定期的に更新をしていくということが理想的です。
現場部門は全社が定めた対策基準を利用することで、より適切にリスクに対処することができ、リスクが放置されてしまう可能性を低くすることができます。
一方で、同じ委託先企業でも、部門によって取り扱う情報の重要度や業務の特性が異なる場合はどうでしょうか。この場合は、全社的に統一された対策基準では、各部門が求めるべき内容に過不足が発生する可能性があります。
例えば、「システムの特権IDは都度貸し出しとして、申請および上長承認がないと利用することはできない」といった基準を設けた場合、一日に複数回利用しなければならないケースなどは、システムでの自動化をしない限り、運用をしていくのは現実的ではありません。
個人情報などの重要な情報を取り扱う場合は、このような基準が非常に有効な施策になりますが、取り扱う情報の重要度によっては、「過剰な対策」となってしまうケースもあるということです。
したがって、全社で統一された対策基準を整備する際に、委託業務の内容や取り扱う情報の重要度分類などの整理をして、それぞれのケースで求める基準を設定することが重要です。また、対策基準を用いて評価する段階では、必要に応じて代替策を検討するなど、求めるべき対策レベルを調整する必要があります。
ポイント② 確認の観点やフォローアップ体制の整備
委託先企業にとっての「情報セキュリティ対策基準」が統一できたら、次のステップでは、「確認の観点やフォローアップ体制を整備」する必要があります。
先ずは「確認の観点」についてです。ここでのポイントは、対策基準に基づいて委託先企業を評価する際に、「どのような対策をしているのか?」、そして「どのような条件を満たしていれば問題ないのか?」を明確にすることです。
例えば、対策基準に基づいた具体的な対策がチェックシートで一覧化されているような状況です。これらが「委託先企業に安心して業務を委託できるかどうか」を評価するための判断基準となります。
次に「フォローアップ体制」です。ここでは、全社組織と現場部門における委託先管理をするための「役割」を明確にすることが重要です。情報セキュリティに関する専門性や業務への理解、委託先企業とのリレーションなど、それぞれの特性やリソースの状況などをお互いに理解して、協力し合うことで、効率的に委託先企業を管理することができるようになります。
ある企業における確認の観点や、フォローアップ体制を以下に例示します。
- 全社組織が、委託業務の統一基準、および情報セキュリティ対策の確認項目を取りまとめたチェックシートを作り、委託業務毎に対策実施状況を評価。
- 加えて、内部不正にフォーカスした確認項目を別途作り、重要情報を取り扱う業務は追加で、これらの項目の確認を実施。
- 洗い出されたリスクを、「今後実施すべき対策」や「実施期限」などと併せて、是正指示として現場部門経由で委託先企業へ展開。是正が適切に行われているかどうかをフォロー。
- フォローする際は、業務上の理由から実施すべき対策が実施できない場合(例えば、システムが他企業も使っており対応できない など)、代替案でリスクの低減ができないかを検討。
このように、全社で統一的な「確認の観点」や「フォローアップ体制」を構築することで、各部門がリスクとなりうる状況を適切に評価して、改善していくことができるようになります。
ポイント③ 効率的な実施体制
確認の観点およびフォローアップ体制の整備が完了したら、次に考慮すべきなのは、「効率的な実施体制」です。
情報セキュリティ対策状況の確認を、委託業務を開始する際に「一度きり」しか行わなかった場合、どのようなリスクがあるでしょうか?
この場合、その時点では十分に対策が実施されていたとしても、新しいリスクへ対処するための「見直しの機会」が存在しません。つまり、PDCAサイクル(Plan-Do-Check-Act)が回っていない状態になります。適切に情報セキュリティリスクを低減し、その状態を維持していくには、「定期的な確認」が重要になります。
一方で、運用が大変で、定期的な確認が行えないという企業もあるでしょう。その場合の、解決策の1つとして、「確認の効率化」が挙げられます。
委託先企業で、全社単位で回答が同じだと想定される項目(例えば、社内OA環境での情報セキュリティ対策 など)については全社組織が確認を行う。そして、現場部門固有の項目(例えば、委託業務を行う環境と社内のOA環境の分離 など)については、現場部門が個別に確認をする。
このように、冗長な部分を省略することで、現場部門だけでなく、委託先企業の負荷も下げることができます。
「効率的かつ効果的」な委託先管理のために
この記事では、委託先企業を管理するために、まず初めに考慮すべき3つのポイントを解説しました。
しかし、実際に委託先管理のプロセスを始めると、この3つのポイントを踏まえた仕組みになっていたとしても、さまざまな問題に直面する可能性があります。複数の企業への委託や再委託、再々委託といった「多段階委託」の管理や、クラウド環境などの「新たな技術を利用した業務」の管理などがその最たる例です。
委託スパンの短期化や新しい技術の台頭は、新たなビジネスの創出に繋がる一方で、より委託先管理を難しくする要因になります。効果的な委託先管理の仕組みを構築するためには、各社の成功事例を収集しながら、さまざまな状況を想定して管理方法を模索していくことが望ましいです。
短期間で、効率的な委託先管理の仕組みを実現するためには、委託先にSecure SketCHを使って自社の対策を評価してもらい、そのスコアや偏差値を通知してもらうなどのやり方も有効です。この機会に、Secure SketCHを使って、効率的かつ効果的な委託先管理を実現してみてはいかがでしょうか。