テレワークとIT業務委託のセキュリティ実態調査、組織編の中間報告を公開

ad
ad

新規取引先のセキュリティへの対応力や体制に課題を感じる企業が5割

2021-01-28 独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:富田達夫)は本日、「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」のうち、企業・組織へのアンケート調査結果を中間報告として公開しました。

URL:https://www.ipa.go.jp/security/fy2020/reports/scrm/index-soshiki.html

 2020年4月に新型コロナウイルス感染拡大に伴う緊急事態宣言が出され、テレワークやオンライン会議など新しいワークスタイルに取り組む企業が急速に増加しました。こうした業務環境の急激な変化を受け、IPAが本年公開した「情報セキュリティ10大脅威2021」では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が組織への脅威として初登場3位になっています。IPAは、こうしたICT環境の変化について、ITシステム・サービスの業務委託におけるセキュリティの取り決めに与える影響を調査する目的で、個人および企業・組織へのアンケート調査を行いました。昨年12月に公開した個人への調査結果に続き、本日は組織編として、IT業務の委託先(*1)(IT企業)287社と委託元(*2) 218社の計505社を対象とした調査結果の一部を中間報告として公開します。

本調査では、委託先(IT企業)の9割強がテレワークを経験しているのに対し、委託元は約5割と差があり、テレワーク実施に関するセキュリティ対策に課題をより強く感じていることが明らかになりました。また、新規に業務委託先と取引する場合に、委託元の約5割が、委託先のセキュリティインシデント発生時における対応力や体制に課題を感じていることが分かりました。委託先・委託元が十分に対話し取り決めをすることが大切です。本調査で明らかになった主なポイントは次のとおりです。

 1. 委託先(IT企業)の9割強がテレワークを経験しているのに対し、委託元は約5割が未実施。IT企業である委託先と、委託元との間でテレワーク導入状況に差があることが分かりました。

設問:貴社では、現在(2020年10月31日)テレワークを実施していますか(またはこれまでに実施したことがありますか)。(n=505)
テレワークの導入状況
図1:テレワークの導入状況

 2. テレワーク実施に関するセキュリティ対策の社内規定について、委託元の方が課題をより強く認識しています。特に「社員の理解が不十分」といった基本的な項目について約5割の委託元が課題を感じているなか、委託先では約3割とギャップが見られました。委託元においては、セキュリティ対策の社内規定・規則・手順等について社員の理解を促進し、ルールを周知することが急務です。

設問:貴社のテレワーク実施に関するセキュリティ対策の社内規定・規則・手順等において、現在(現在テレワークを実施していない場合は、実施していた時点で)課題と感じている点がありますか。(複数回答)(n=383)
テレワーク実施時の社内規程・規則・手順等の課題(テレワーク実施経験有)
図2:テレワーク実施時の社内規程・規則・手順等の課題(テレワーク実施経験有)

 3. 委託元が新規の業務委託先と取引する場合、委託元の約5割がセキュリティインシデント発生時の対応力や体制に課題や不安を感じると回答しています。また、別の設問において、委託元の21.3%、委託先の4.0%がセキュリティインシデント発生時の連絡体制(社外から問い合わせできる連絡先)を取り決めていないと回答しており、委託元の体制にも課題があることが分かりました。業務委託においては、委託先・委託元の双方でよく対話し、セキュリティインシデントが発生した場合の対応内容や体制について十分に対話し、整合したうえで契約を締結することが求められます。

設問:貴社が業務委託/ITサービスの提供元と新規に取引する際、委託先/提供元の企業に対して課題や不安を感じることはありますか。(複数回答)(n=186)
委託元が新規に取り引きする「委託先/提供元」の企業に対して感じる課題や不安
図3:委託元が新規に取り引きする「委託先/提供元」の企業に対して感じる課題や不安

 IPAでは本調査の結果をもとに、ITサプライチェーンにおけるセキュリティ脅威やリスク、および課題などの観点から分析、有識者、企業へのインタビューを行い、最終調査報告書を2021年春に公開する予定です。IPAは本調査の結果を踏まえ、組織におけるテレワークのセキュリティ対策や、委託元と委託先間の対話が進むことを期待しています。
テレワークのセキュリティ対策における課題や、ウェブ会議ツールの利用に関する規則の取り決め状況など、その他のアンケート結果はIPAのウェブサイトからダウンロード可能です。

    ■調査概要

  • 方法:リサーチ会社を利用した郵送アンケートとウェブアンケートの併用
  • 対象:リサーチ会社の登録企業データベースから抽出した企業
  • 期間:事前調査:2020年11月18日~12月11日
  • 有効回答企業数:505社
    • 委託先(IT企業)・大規模(101人以上):139社
    • 委託先(IT企業)・中小規模(100人以下):148社
    • 委託元・大規模(301人以上):112社
    • 委託元・中小規模(300人以上):106社
脚注

(*1) 委託先:顧客からITシステム・ソフトウェアの製造・開発・保守等を受託している、もしくはITサービスを提供している企業

(*2) 委託元:IT企業等に対してITシステム・ソフトウェアの製造・開発・保守・運用等を発注・委託している、ITサービスの提供を受けている企業あるいは組織

本件に関するお問い合わせ先

IPA セキュリティセンター 小山/森

1600情報工学一般
ad
ad
Follow
ad
タイトルとURLをコピーしました