独立行政法人情報処理推進機構(IPA)は1月28日、「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」のうち、IT業務の委託先(IT企業)287社と委託元218社の計505社を対象としたアンケート調査結果を中間報告として公開した。
中間報告における主なポイント
委託先(IT企業)の9割強がテレワークを経験しているのに対し、委託元は約5割が未実施
IT企業である委託先と、委託元との間でテレワーク導入状況に差があることがわかったという。
設問:貴社では、現在(2020年10月31日)テレワークを実施していますか(またはこれまでに実施したことがありますか)。(n=505)
[画像クリックで拡大]
2.テレワーク実施に関するセキュリティ対策の社内規定について、委託元の方が課題をより強く認識
特に「社員の理解が不十分」といった基本的な項目について約5割の委託元が課題を感じているなか、委託先では約3割とギャップが見られたとしている。委託元においては、セキュリティ対策の社内規定・規則・手順等について社員の理解を促進し、ルールを周知することが急務だという。
設問:貴社のテレワーク実施に関するセキュリティ対策の社内規定・規則・手順等において、現在(現在テレワークを実施していない場合は、実施していた時点で)課題と感じている点がありますか。(複数回答)(n=383)
[画像クリックで拡大]
3.委託元が新規の業務委託先と取引する場合、委託元の約5割がセキュリティインシデント発生時の対応力や体制に課題や不安を感じると回答
別の設問において委託元の21.3%、委託先の4.0%がセキュリティインシデント発生時の連絡体制(社外から問い合わせできる連絡先)を取り決めていないと回答しており、委託元の体制にも課題があることがわかったという。業務委託においては、委託先・委託元の双方でよく対話し、セキュリティインシデントが発生した場合の対応内容や体制について十分に対話し、整合したうえで契約を締結することが求めらるとしている。
設問:貴社が業務委託/ITサービスの提供元と新規に取引する際、委託先/提供元の企業に対して課題や不安を感じることはありますか。(複数回答)(n=186)
[画像クリックで拡大]
IPAでは本調査の結果をもとに、ITサプライチェーンにおけるセキュリティ脅威やリスク、および課題などの観点から分析、有識者、企業へのインタビューを行い、最終調査報告書を2021年春に公開する予定だという。
【関連記事】
・IPA、情報セキュリティ10大脅威をランキング形式で公表
・約5割が取引先の対策に懸念【IPA テレワークのセキュリティ実態調査】
・IPA、ユーザー企業とベンダー向けに「情報システム・モデル取引・契約書」第二版を公開
