「ISMSにおける委託先管理とは何か」「ISMSとして委託先管理を実施する理由・メリットは何か」「ISMSとして委託先管理を実施する際にどのような点に注意するべきなのか」など、疑問に感じている方もいらっしゃるのではないでしょうか?
本記事では、ISMSにおける委託先管理の概要から管理する目的、ポイントについて解説します。
1. ISMSとは
ISMSとは、自社が所有する情報の機密性・完全性・可用性を維持できるように、強固なセキュリティ体制を構築することです。
リスクマネジメントプロセスを適用することによって情報セキュリティリスクを適切に管理しているという信頼を、顧客や取引先に与えることができます。
情報セキュリティマネジメントシステムを意味する「Information Security Management System」の頭文字を取って、ISMSと呼ばれています。
ISMSを構築する基準とされているのは、国際規格である「ISO/IEC 27001」となっています。
「ISO/IEC 27001」に則った情報セキュリティ体制を構築し、審査を受けることでISMS認証を取得することができます。
【関連記事】
ISMS(情報セキュリティマネジメントシステム)とは?構築する方法やポイント、ISO27001(JISQ27001)との関係性について解説
2. ISMSにおける委託先管理の目的
ISMSにおける委託先管理の目的は、委託先を経由したサイバー攻撃や不正アクセスといった情報セキュリティリスクを防ぎ、自社が所有する情報の機密性・完全性・可用性を維持することです。
自社で十分なセキュリティ対策を実施していても、委託先のセキュリティ対策に不備があれば、委託先を経由したサイバー攻撃によって被害が発生するケースがあります。
強固なセキュリティ体制を構築している大手企業でも、委託先から個人情報が漏洩してしまったという事件も後を絶ちません。
そのため、自社の情報セキュリティリスクを軽減する手法のひとつとして、委託先管理を実施する必要があるのです。
3. ISMSにおける委託先管理の要求事項
ISMSにおける委託先管理については、規格の付属書Aのうち、「A.15 供給者関係」に記載があります。
A.15.1 供給者関係における情報セキュリティ 目的: 供給者がアクセスできる組織の資産の保護を確実にするため。 |
|
A.15.1.1 | 供給者関係のための情報セキュリティの方針 |
A.15.1.2 | 供給者との合意におけるセキュリティの取扱い |
A.15.1.3 | ICT サプライチェーン |
A.15.2 供給者のサービス提供の管理 目的: 供給者との合意に沿って,情報セキュリティ及びサービス提供について合意したレベルを維持するため。 |
|
A.15.2.1 | 供給者のサービス提供の監視及びレビュー |
A.15.2.2 | 供給者のサービス提供の変更に対する管理 |
「A.15.1 供給者関係における情報セキュリティ」では主に契約前の情報セキュリティ方針の作成や合意について、「A.15.2 供給者のサービス提供の管理」では契約後の供給者の監視や管理について書かれています。
■A.15.1 供給者関係における情報セキュリティ
A.15.1では、供給者がアクセスできる組織の資産を保護するために、情報セキュリティ方針を策定し、それについて供給者と合意を取る必要があることが示されています。
「A.15.1.1供給者関係のための情報セキュリティの方針」では、供給者が自社の情報にアクセスすることに関して、情報セキュリティ要求事項を作成すべきとしています。
どの情報にどの供給者がアクセスするのか、アクセスする際の監視・管理方法、不測の事態の取り決めをしておくほか、場合によっては機密保持契約等を結ぶことも重要です。
「A.15.1.2供給者との合意におけるセキュリティの取扱い」は確立した要求事項について、供給者との間に誤解が生じないような合意を取っておくことです。
「A.15.1.3ICT サプライチェーン」はセキュリティ要求事項を、下請企業を含めたICTサプライチェーン全体に伝達し管理する必要があるとしています。
■A.15.2 供給者のサービス提供の管理
A.15.2では、A.15.1で策定した情報セキュリティ要求事項について、それらがきちんと維持されているか監視・管理することについて書かれています。
「A.15.2.1供給者のサービス提供の監視及びレビュー」では、供給者のサービス提供を監視、レビュー、監査する必要があるとしています。
「A.15.2.2 供給者のサービス提供の変更に対する管理」はサービス提供に関する変更があった際に、その変更を管理することが望ましいとしています。
4. ISMSにおける委託先管理のポイント
ISMSにおける委託先管理のポイントは以下の通りです。
|
■情報セキュリティ方針を策定する
情報セキュリティ方針の策定は、組織のセキュリティレベルを高め、委託先との信頼関係を築くための重要な要素です。情報セキュリティ方針とは、組織が情報をどのように保護するかを示す指針のことを指します。この方針を策定することで、組織全体が一貫したセキュリティ意識を持ち、委託先にも明確な基準を提示できます。情報の取り扱いや保護に関する基本的な考え方、具体的なセキュリティ対策の方針を明記することで、委託先との契約や業務遂行時において、双方が同じ基準で情報を守ることが可能です。また、専門家の助言を受けながら策定することで、より効果的な方針を構築できます。
■情報セキュリティ要求事項について委託先と合意を得る
情報セキュリティ要求事項について委託先と合意を得ることは、ISMSにおける委託先管理の重要なステップです。情報セキュリティ要求事項とは、企業が外部の委託先に対して求めるセキュリティ基準や手続きを指します。合意を得る際には、具体的な要求事項を文書化し、双方で確認することが重要です。さらに、定期的なミーティングや報告を通じて、委託先が要求事項を遵守しているかどうかを確認することも大切です。
■ICTサプライチェーン全体の管理を行う
ICTサプライチェーン全体の管理を行うことは、ISMSにおける委託先管理の中で非常に重要です。サプライチェーンとは、製品やサービスが最終的に消費者に届くまでの一連の流れを指します。この流れの中で、情報セキュリティを確保するためには、すべての関係者が同じ基準で管理されていることが必要です。委託先やサプライヤーが情報漏洩を起こせば、最終的には自社の信用が損なわれる可能性があります。したがって、ICTサプライチェーン全体を管理し、定期的に評価を行うことで、リスクを最小限に抑えることが求められます。
■委託先を定期的に監視・評価する
委託先を定期的に監視・評価することは、ISMSにおける委託先管理の重要なステップです。委託先の業務が自社の情報セキュリティ基準に適合しているかを確認することで、情報漏洩リスクを未然に防ぐ役割を果たします。具体的には、委託先との定期的なコミュニケーションや、業務プロセスの確認、セキュリティ対策の実施状況をチェックすることが求められます。また、評価結果をもとに改善点を見つけ、必要に応じて契約内容の見直しを行うことも大切です。
■サービス提供の変更を管理する
サービス提供の変更を管理することは、ISMSにおける委託先管理の重要なポイントです。サービス内容や提供範囲の変更は、情報セキュリティに直接影響を及ぼす可能性があります。契約書や合意事項を再確認し、変更内容がセキュリティ要求事項にどう影響するかを分析します。次に、委託先と密にコミュニケーションを取り、変更に伴うリスクを共有し、必要な対策を講じます。さらに、変更が適切に実施されているかを定期的に評価し、問題が発生した場合は迅速に対応する体制を整えておくことが大切です。
5. まとめ
本記事では、ISMSにおける委託先管理の概要から管理する目的、ポイントについて解説しました。
自社のセキュリティが完璧であったとしても、委託先を経由したサイバー攻撃や委託先の従業員による不正アクセスにより自社の機密情報や個人情報が漏洩してしまう可能性はあります。
委託先による自社の情報へのアクセスもしっかりと管理をして、リスク低減を目指しましょう。
アトミテックでは、ISMSに則った委託先管理について、コンサルティングサービスを提供しています。
必要性は認識しているが何からやったらわからない、改善したいがナレッジがない、といったお悩みがございましたらお気軽にご相談ください。