現代の企業は、多くの業務を外部の委託先や外注先に依頼しています。 システム開発、カスタマーサポート、クラウドサービス、人事採用支援など、様々な業務が外部化されています。 しかし同時に、こうしたサプライチェーン上での情報セキュリティリスク(サードパーティリスク)が急速に高まっています。
委託先の一つがセキュリティ侵害されると、そこを経由して自社のデータも流出する可能性があります。 実際、大規模なセキュリティインシデントの多くが、委託先経由で発生しています。
本記事では、委託先・外注先のセキュリティを確認するための実践的なチェックリストを提供します。 取引開始前に、これらの項目を確認することで、リスクを大幅に低減することができます。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
委託先セキュリティ管理がなぜ重要か
サプライチェーンリスク(Third Party Risk)の現状
国際的なセキュリティ標準化機構(ISO/IEC 27001)でも、サプライチェーン・リスク管理は重要要件として定められています。 自社がセキュリティ対策を完璧に実施していても、委託先が甘い管理をしていれば、そこが攻撃の入口になってしまいます。
規制・法令への対応
個人情報保護方針法、GDPR、各業界の規制では、委託先に対する責任が明示されています。 委託先が個人情報を漏洩させた場合、発注元も法的責任を問われる可能性があります。
事例から学ぶサプライチェーン攻撃
近年の大規模セキュリティインシデントのほぼ全てが、何らかの形で外部組織を経由しています。 SolarWindsの供給チェーン攻撃(2020年)は、ソフトウェア更新機能を悪用して、大手政府機関やIT企業のシステムを侵害しました。
委託先のセキュリティ審査を厳格に実施することは、こうした攻撃から身を守るための最も効果的な手段です。
委託先セキュリティ確認の全体フレームワーク
委託先のセキュリティ状況を確認する際は、体系的なアプローチが必要です。
段階別のセキュリティ確認プロセス
段階1:取引前段階:委託契約前に、セキュリティチェックシートの提出を求め、基本的な体制と対策を確認。 段階2:契約段階:セキュリティ対策を契約書に明記し、具体的な要件を文書化。 段階3:運用段階:定期的な監査、アクセスログ確認、インシデント報告ルールを通じた継続的な管理。 段階4:終了段階:契約終了時に、委託先が保有する自社データを確実に削除・返却させることを確認。
委託先セキュリティ確認チェックリスト(20項目)
取引開始前に委託先に確認すべき、重要な20項目をまとめました。
【組織・体制に関する項目】(1~5項目)
1. セキュリティ責任体制の確立
確認項目:委託先に情報セキュリティの責任を持つ専任者、またはCISO相当の役職が存在するか。 理由:セキュリティ対策を推進する責任者がいない企業は、セキュリティが後回しになりやすい。 質問例:「セキュリティの責任者は誰か、またその人の役職・権限は何か」
2. セキュリティポリシー・規程の整備
確認項目:文書化されたセキュリティポリシー、情報セキュリティ規程が存在し、全員に周知されているか。 理由:ポリシーがなければ、セキュリティ対策がばらばらになり、統一した管理ができない。 質問例:「セキュリティポリシーの最新版は何年度版で、従業員への教育・周知はいつ実施したか」
3. 情報セキュリティ研修・教育の実施
確認項目:従業員に対する情報セキュリティ教育が定期的に実施されているか。 理由:ヒューマンエラーはセキュリティインシデントの最大要因の一つ。 質問例:「年何回、どのような内容のセキュリティ研修を実施しているか」
4. インシデント対応計画の有無
確認項目:セキュリティインシデント発生時の対応手順が文書化されているか。 理由:インシデント発生時の初動対応の速さが被害を大きく左右する。 質問例:「セキュリティインシデントが発生した場合、当社(発注元)への報告期限は何時間以内か」
5. 経営層の関与度
確認項目:経営層がセキュリティを経営課題として認識し、定期的に監視しているか。 理由:経営層の関与がなければ、セキュリティ対策に必要なリソースが確保されない。 質問例:「セキュリティ関連の報告や決定が、どのレベルの経営会議で行われているか」
【アクセス管理・認証に関する項目】(6~10項目)
6. 多要素認証(MFA)の導入
確認項目:パスワードだけでなく、スマートフォン認証など複数の認証方式が実装されているか。 理由:多要素認証は、不正アクセスを防ぐ最も効果的な方法の一つ。 質問例:「社員のシステムログインに多要素認証を導入しているか、対象範囲は何か」
7. アクセス権限管理(最小権限の原則)
確認項目:従業員が必要最小限の権限のみを付与されているか。 理由:権限が大きすぎると、内部犯行や誤操作のリスクが高まる。 質問例:「従業員のシステムアクセス権限は誰が承認し、定期的に見直しているか」
8. 離職時のアカウント削除プロセス
確認項目:従業員が離職した際、システムアクセスが確実に削除されるプロセスがあるか。 理由:削除されないアカウントが悪用されるリスク。 質問例:「従業員が退職した場合、全システムのアカウントが何日以内に削除されるか」
9. 特権アカウント(管理者アカウント)の管理
確認項目:管理者権限を持つアカウントが厳密に管理されているか。 理由:管理者アカウントの悪用は、システム全体の侵害につながる。 質問例:「管理者アカウントの使用履歴はログに記録されているか、定期的に監査しているか」
10. デフォルトパスワード・不要アカウントの削除
確認項目:初期設定のパスワードが変更されているか、使用していないアカウントが削除されているか。 理由:デフォルトパスワードは知られやすく、不要アカウントはセキュリティホール。 質問例:「システムやアプリケーションのデフォルトアカウント・パスワードをすべて変更しているか」
【データ保護・暗号化に関する項目】(11~14項目)
11. 通信データの暗号化
確認項目:インターネット経由の通信がSSL/TLS暗号化されているか。 理由:暗号化されていない通信は中間者攻撃で傍受される可能性がある。 質問例:「当社(発注元)のシステムとの通信はHTTPS等で暗号化されているか」
12. 保存データの暗号化
確認項目:保有されているデータがディスク上で暗号化されているか。 理由:物理的な盗難や不正アクセス時のデータ保護。 質問例:「個人情報や機密情報を含むサーバー、ストレージは暗号化されているか」
13. バックアップの確保と検証
確認項目:定期的にバックアップが取得され、復旧テストが実施されているか。 理由:ランサムウェア攻撃時の復旧、意図しないデータ削除への対策。 質問例:「バックアップはどの頻度で取得され、復旧可能性は定期的にテストされているか」
14. データ削除時の確実性
確認項目:契約終了時やデータ廃棄時に、データが完全に削除されるプロセスがあるか。 理由:削除不十分なデータが後で復旧・悪用されるリスク。 質問例:「当社(発注元)のデータを完全に削除する際、削除証明書を提供できるか」
【脅威対策・検出に関する項目】(15~17項目)
15. マルウェア対策の実装
確認項目:ウイルス対策ソフトが導入され、定義ファイルが常に最新に更新されているか。 理由:マルウェアはセキュリティインシデントの主要な原因の一つ。 質問例:「全従業員のPC、サーバーに統合的なマルウェア対策ソフトが導入されているか」
16. 脆弱性管理と定期的なパッチ適用
確認項目:ソフトウェア、OS、ミドルウェアの脆弱性が識別され、パッチが定期的に適用されているか。 理由:未対応の既知脆弱性は、攻撃者に悪用されるリスク。 質問例:「脆弱性スキャンはどの頻度で実施され、パッチは何日以内に適用しているか」
17. ログ監視とインシデント検出
確認項目:ユーザーアクティビティ、システムイベントが記録され、異常なアクティビティを監視しているか。 理由:早期検出により、被害を最小化できる。 質問例:「不正アクセスの兆候を検出するため、ログを監視する仕組みがあるか」
【物理セキュリティに関する項目】(18~20項目)
18. データセンター・サーバー室の物理的保護
確認項目:サーバーが施錠された環境に置かれ、出入り管理がされているか。 理由:物理的な盗難やデバイスの直接操作による攻撃を防ぐ。 質問例:「サーバーが保管されている機室の出入りは、どのような仕組みで管理されているか」
19. 従業員の身分証明・識別
確認項目:従業員が身分証明書を携帯し、識別できるようになっているか。 理由:部外者の侵入や詐称を防ぐ。 質問例:「オフィスへの出入り管理は、カードキーなど何らかの認証方法を使用しているか」
20. 監視カメラ・出入り記録
確認項目:セキュリティが重要な場所(サーバー室、データセンター)に監視カメラが設置され、出入り記録が保持されているか。 理由:インシデント発生時の原因究明、事後対応に必要。 質問例:「セキュリティ上重要な場所の監視カメラ映像と出入り記録は、どの程度の期間保持されているか」
チェックリスト活用のプラクティス
チェックリストを効果的に活用するための実践的なポイントをお伝えします。
事業規模に応じた調整
本チェックリストは、中程度以上の規模の委託先を想定しています。 小規模な企業や初期段階のスタートアップなど、事業規模が小さい場合は、項目を調整することが現実的です。
重要度の高い項目(多要素認証、データ暗号化、インシデント報告など)は必須とし、他の項目は段階的に対応させるアプローチもあります。
回答の検証方法
委託先からの「はい」という回答をそのまま受け入れるのではなく、以下の方法で検証することが重要です。
証拠資料の提出要求:ポリシー文書、実装スクリーンショット、監査レポートなどの提出を求める。 技術的検証:SSL/TLSの実装状況、MFAの設定確認など、技術的に検証可能な項目は実際に確認する。 第三者監査報告書:ISO 27001認証、SOC 2Type IIレポートなど、第三者による監査結果があれば参照。
継続的な確認・監査の仕組み化
取引開始時のチェック後も、継続的な監視が必要です。
定期的な再評価:1年に1回程度、チェックリストを再提出させる。 インシデント対応の確認:実際にセキュリティインシデントが発生した場合の対応状況を確認。 立入監査:より重要な委託先については、年1回程度の立入監査を実施。
チェックリスト回答の標準化と自動化
複数の委託先がある場合、チェックリストの管理が煩雑になります。
専用ツールの導入:委託先がオンラインでチェックリストに回答でき、履歴が自動保存されるツール。 ベンダーリスク管理プラットフォーム:Vanta、OneTrust、Archer等の専門ツールを使用して、ベンダー管理を一元化。
委託先セキュリティ評価の分類例
チェックリストに基づいて、委託先をリスク分類することが推奨されます。
グリーン(低リスク)
以下の条件をすべて満たす委託先。
- ISO 27001認証を取得している。
- SOC 2 Type IIレポートを取得している。
- チェックリスト20項目のうち18項目以上が「はい」。
- セキュリティインシデント実績がない。
対応:年1回のチェックリスト再提出で足りる。
イエロー(中リスク)
以下の条件のいずれかに該当する委託先。
- ISO 27001取得予定だが未取得。
- チェックリスト20項目のうち14~17項目が「はい」。
- 過去に軽微なセキュリティインシデントがある。
対応:年2回のチェック、改善計画の提出。
レッド(高リスク)
以下の条件のいずれかに該当する委託先。
- チェックリスト20項目のうち13項目以下が「はい」。
- 重要な項目(多要素認証、データ暗号化など)に「いいえ」と回答。
- 過去に重大なセキュリティインシデント実績がある。
対応:改善計画の提出、改善完了まで業務委託を保留する検討。
セキュリティ要件の契約書への明記
チェックリストで確認した要件は、必ず委託契約書に明記することが重要です。
契約書に含めるべき項目
セキュリティ基準の参照:「NIST Cybersecurity Framework」「ISO 27001」など、準拠すべき基準を明示。 情報セキュリティ対策の義務:データ暗号化、多要素認証、ログ記録など、具体的な対策を列挙。 監査権:発注元が委託先のセキュリティ状況を監査する権利を確保。 インシデント報告義務:セキュリティインシデント発生時の報告期限と報告方法を明記。 データの返却・削除義務:契約終了時に、自社データを確実に返却・削除することを義務付け。 損害賠償責任:セキュリティ侵害による損害賠償の責任範囲を明記。
よくある質問とその対応
委託先セキュリティ管理に関する、よくある質問にお答えします。
Q1: 小規模な委託先にもすべてのチェックリストを提出させるべきか
A:事業の規模や重要度に応じて、調整が可能です。 個人情報を取り扱わない、短期の軽微な業務であれば、簡易版のチェックリストでも問題ありません。 ただし、個人情報や機密情報を取り扱う場合は、フルのチェックリストを提出させることをお勧めします。
Q2: 委託先が「セキュリティ対策費用がかかるので、費用負担してほしい」と言われた場合
A:セキュリティ対策は、サービス提供の基本要件です。 その上で、委託先との交渉の中で、一定の支援(例:オンサイト研修)を検討する余地はあります。 ただし、基本的な対策費用を発注元が負担すべきではありません。
Q3: 大手クラウドプロバイダー(AWS、Google Cloud等)はチェックリストが不要か
A:大手プロバイダは一般的にセキュリティレベルが高く、SOC 2やISO 27001等の認証を取得していることが多いです。 ただし、プロバイダ上に構築されたアプリケーションやシステムについては、やはりセキュリティ確認が必要です。 プロバイダ自体は安全でも、委託先の実装に脆弱性がある可能性があります。
委託先セキュリティ管理の組織的な運用
複数の委託先を管理する場合、組織的な仕組みが必要です。
ベンダーリスク管理プログラムの構築
大規模組織では、ベンダーリスク管理プログラムの構築が推奨されます。
ベンダー登録・評価フェーズ:新規委託先を登録する際に、セキュリティ評価を実施。 モニタリング・監査フェーズ:既存委託先の継続的な監視と定期監査。 インシデント対応フェーズ:セキュリティインシデント発生時の報告・対応。 オフボーディングフェーズ:契約終了時のデータ削除確認。
責任と権限の明確化
- 最高情報セキュリティ責任者(CISO):全社のベンダーリスク管理方針を策定。
- 調達部門:契約前のセキュリティ評価を実施。
- ビジネスオーナー:委託先との継続的な関係管理と監視。
- セキュリティチーム:セキュリティ要件の設定、監査の実施。
固定IPで安全なアクセス環境を実現するなら「ロリポップ!固定IPアクセス」
委託先とのデータ共有やシステム連携を安全に実施するためには、ネットワークレベルでの保護が重要です。 ロリポップ!固定IPアクセスは、今お使いのインターネット回線をそのまま活かして固定IPアドレスを利用できるVPNサービスです。 月額539円(税込)から、初期費用0円・最大2ヵ月無料で始められます。 WireGuardによる高速接続で、VPN特有の速度低下も気になりません。 委託先からのアクセスに対して、固定IPベースでIP制限をかけることで、より多層的なセキュリティを実現できます。 プロバイダの乗り換えも不要で、申し込んだその日から利用できます。
