製造、小売では実施すべきセキュリティ対策を委託先に明示せず(IPA) | ScanNetSecurity
2026.04.23(木)

製造、小売では実施すべきセキュリティ対策を委託先に明示せず(IPA)

IPAは、「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書を公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
44 views
facebookLINE
「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」
「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」 全 7 枚 拡大写真
独立行政法人情報処理推進機構(IPA)は3月26日、「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書を公開した。同報告書は、ITシステム・サービス等の業務委託先などにおけるセキュリティリスクが看過できない課題となっていることから、ITサプライチェーンにおける対策状況、およびインシデント発生事例などについて調査を行い、その結果をまとめたもの。

調査は、文献調査、アンケート調査、インタビュー調査により行われており、これらをまとめたところ、「インシデントが発覚する主体(委託元、委託先、顧客)によって発覚経緯に特徴がある」「インシデントの発生箇所は委託先が多い」「事業分野ごとに、インシデントの原因に特徴がある」といった特徴が現れた。また、これらの分析から「インターネットビジネス事業×不正アクセス」「ITソリューション事業(SI事業)×内部不正」「ITソリューション事業(クラウドサービス事業)×人」の3つのインシデントの典型パターンを作成している。

「ITサプライチェーンリスクマネジメントに対する企業の取組みの現状」では、委託元の回答企業が直接取引を行った委託先は「10社以下」が77.6%と最も多かった。一方、委託先の回答企業が直接取引を行った委託元は「50社以下」が71.6%で、「101社以上」の委託先と取引がある委託元も12.7%と一定数あった。委託元の回答企業の54.3%、委託先の回答企業の76.6%に再委託先があった。

また、情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を仕様書等で委託先に明示していない。特に、製造業では71.1%、卸売・小売業で74.2%が明記しておらず、顕著になっている。さらに、委託契約における情報セキュリティ上の責任範囲(責任分界点)がわからないと回答する割合が、委託元、委託先とも最多となっている。6+5

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 受託業務で受領したデータの様式を同意なく別業務へ流用、非表示設定となっていたワークシート内に顧客情報が残存

    受託業務で受領したデータの様式を同意なく別業務へ流用、非表示設定となっていたワークシート内に顧客情報が残存

  2. セキュリティチェックリストの最適化とは ~ NEC 解説

    セキュリティチェックリストの最適化とは ~ NEC 解説

  3. おたクラブ大阪店で顧客から預かったUSBメモリを一時紛失(いこい)

    おたクラブ大阪店で顧客から預かったUSBメモリを一時紛失(いこい)

  4. 村田製作所への不正アクセス 第2報 ~ 顧客・取引先・従業員の個人情報不正取得を確認

    村田製作所への不正アクセス 第2報 ~ 顧客・取引先・従業員の個人情報不正取得を確認

  5. YCC情報システムへのランサムウェア攻撃、山形県が業務を委託

    YCC情報システムへのランサムウェア攻撃、山形県が業務を委託

ランキングをもっと見る
PageTop
ホーム 調査・レポート・白書・ガイドライン 調査・ホワイトペーパー 記事
TOP