「情報セキュリティに関するサプライチェーンリスクマネジメント調査」報告書について
2017年4月13日
省庁・団体名
独立行政法人情報処理推進機構
概要
今日、ITシステムや提供する製品・サービスにおいて設計・開発・製造、及び運用・保守・廃棄に至るまでのプロセスの一部を外部委託することは一般的となっています。国内において企業内における情報セキュリティマネジメントへの取組みは浸透しつつあるものの、系列企業やビジネスパートナー等の外部委託者が関与する供給の連鎖(サプライチェーン)における情報セキュリティリスクの把握やマネジメントは容易ではありません。
IPAでは、サプライチェーンにおける情報セキュリティリスクマネジメントの取組みへの課題を整理するため、文献・アンケート・ヒアリングの3段階で調査を実施しました。アンケート調査の概要及び主なポイントは以下の通りです。
なお、本調査は、全体的な状況を把握するための調査と位置づけ、主に委託元の状況を調査しました。
内容
1. アンケート調査(国内)の概要
| (1)調査方法 | ウェブアンケート |
|---|---|
| (2)調査対象 | 委託先を有する国内企業(*1)において、「セキュリティ部門」「調達部門」「リスク部門」「開発製造部門」のいずれかの業務に従事する者 |
| (3)調査期間 | 2017年1月20日~2017年1月26日 |
| (4)有効回答数 | 1,249件(従業員数301人以上の企業:632件、従業員数300人以下の企業:617件) |
詳細は報告書のp.4「2.1.2アンケート調査の実施概要」をご参照ください。
2. 調査結果のポイント
(1) 委託元にとって、委託が連鎖するほど情報セキュリティ対策状況の把握は困難。
直接の取引がある委託先の情報セキュリティ対策状況を把握している企業の割合は約86%である。一方、再委託先以降と取引があるにも関わらずその情報セキュリティ対策状況を把握している企業の割合は約47%である。
(2) 大企業(*2)は、委託先へ求める情報セキュリティについて「統一されたルール」を策定する傾向にある。
委託先が順守すべき情報セキュリティ管理を定めたルールの策定状況として、大企業では全社でまたは関連部署ごとに「統一されたルールがある」割合が84%であるのに対し、中小企業ではその割合は65%である。さらに「全社で統一されたルールがある」は、中小企業よりも大企業に強い傾向があり、大企業ではより全社のガバナンスを強化する傾向が見て取れる。
(3) 中小企業は大企業よりも「委託先における情報セキュリティ管理の確認頻度が低い」傾向にある。
委託先が遵守すべき情報セキュリティ管理を定めたルール徹底の手法と頻度について『証跡の提示』においては、「頻繁・定期的に実施」している大企業の割合が81%であるのに対し、中小企業の割合は62%と約20ポイントも低い。「契約の時だけ」しか実施しない割合は大企業で15%であるのに対し、中小企業では27%と約12ポイント高い。契約時に一度しか実施しない場合、新しいリスクに対処するための必要な見直しの機会がなく、PDCAサイクルが回っていないことが推測される。『現場訪問による確認』や『普及・教育の実施』においても相対的に同じ傾向がみられる。
- 上記のアンケート結果及びヒアリング結果を本調査報告書にまとめました。詳細は報告書をご参照ください。
調査報告書のダウンロード
アンケートのお願い
よろしければ今後のサービス向上を図るため、「情報セキュリティに関するサプライチェーンリスクマネジメント調査」報告書に関するアンケートにご協力ください。
実施者
脚注
(*1)本調査における「企業」は行政機関も一部含みます。
(*2)本調査では、従業員数301人以上の企業を「大企業」、従業員数300人以下の企業を「中小企業」としています。
お問い合わせ
IPA 技術本部 セキュリティセンター 土屋/小川
TEL:03-5978-7530 FAX:03-5978-7518
公表日
2017年3月30日(木)