IPA、「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書を公開
- 2019/04/25 10:00
- SecurityInsight
IPA(情報処理推進機構)は4月19日、「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」の報告書を公開した。
IPAでは2017年度に委託元、委託先間の情報セキュリティ上の責任範囲について調査を実施。その結果、責任範囲が不明確であることが明らかになった。これを受け、2018年度はその原因を明らかにし、解決策を導き出すための調査を実施した。調査の結果明らかになったポイントは次のとおり。
1.「新たな脅威が顕在化した際の対応」について責任範囲の明記がない割合は8割。
2.責任範囲を明確にできない理由は知識・スキル不足が最多で79.6%。
3.IT業務委託契約においてリスク低減を目的に複数の対策を実施。
4.IT業務委託契約時に責任範囲を記述している文書は“契約書”が最多。
5.責任範囲を明確にするには“契約関連文書の雛形の見直し”が最も有効。
以上のことから、①新たな脅威(脆弱性等)やインシデント対応について責任範囲が明確にできていない、②委託元の知識・スキル不足により責任範囲を明確にできない、③責任範囲を明確にするには、契約関連文書の見直しが、委託元、委託先にとっても有効である、ということが分かった。