サプライチェーンの責任範囲、「専門知識・スキル不足」で明確にできず(IPA)
IPAは、「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」の結果を発表した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
調査結果によると、委託元が文書で明確にしているセキュリティに係る要求事項において、「インシデントが発生した場合の対応」が明記されていると回答したのは37.1%、「新たな脅威(脆弱性等)が顕在化した場合の情報共有・対応」では20.1%にとどまり、責任範囲の明記がないケースが多かった。また、委託元が責任範囲を明確に出来ない理由では、「専門知識・スキルが不足している」が79.6%でもっとも多かった。このほか、IT業務委託契約時に責任範囲を記述している文書は「契約書」が最多で、責任範囲を明確にするには「契約関連文書の雛形の見直し」がもっとも有効とする回答が多かった。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
この記事の写真
/