情報セキュリティ(IS)とは?アウトソーシングに関する 情報セキュリティ管理
サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外部に預託せざるを得ない状況が多く見られるようになってきた。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっている。
2021年03月05日

サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外部に預託せざるを得ない状況が多く見られるようになってきた。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっている。
サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外部に預託せざるを得ない状況が多く見られるようになってきた。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっている。
1.情報セキュリティ(IS)とは?
セキュリティ管理とは、ネットワーク上での安全性を確保するために行う、システム運用管理の1つです。具体的には、以下の管理が該当します。
ハードウェア管理:端末へのパスワード設定やバックアップなど
ソフトウェア管理:アクセス権限の設定など
ウイルス対策:セキュリティソフトの導入や定期的なスキャン
ネットワーク防御:ファイアウォールの設置、通信暗号化など
情報セキュリティを保つために欠かせない3要素が「機密性」「完全性」「可用性」です。
機密性:アクセスを認可された者だけが、情報にアクセスできるようにすること
完全性:情報および処理方法が正確であること及び完全であること
可用性:認可された利用者が、必要なときに情報及び関連する資産にアクセスできることを確実にすること
厳しいアクセス制限や認証プロセスの複雑化をし、機密性を高くしても、例えば従業員がデータにアクセスするまでに時間がかかる状態、つまり可用性の低い状態であれば、それは適切な情報セキュリティが確保できていないということになります。
2. 情報資産への脅威
部外者による脅威
建物侵入による情報資産の破壊、・盗難、故意の不正アクセスまたは不正操作による情報資産の破壊・盗難・改ざん・消去など
社員・社内関係者(外部委託業者)による脅威
日本において極めて特徴的で多い脅威である。意図しない故意の不正アクセス又は不正操作によるデータやプログラムの持ち出し・改ざん・消去、機器または記録媒体の盗難、規定外の機器操作によるデータ漏えいやシステムの停止など
インターネット利用による脅威
盗聴、改ざん、なりすまし、侵入、妨害、不正アクセス、機密漏えい、ウイルスなど
3. アウトソーシングに係る情報セキュリティ管理
アウトソーシングは、委託する業務によって形態や規模は様々であり、アウトソーシン グ業務を、担当部署毎に個別管理していると、部署毎・案件毎に情報セキュリティレベル に大きな差が生じてしまう。
そこで、計画プロセスにおいては、個々のアウトソーシング業務から発生する情報セキ ュリティリスクに対応するため、アウトソーシング戦略及び情報セキュリティ戦略に基づ き、アウトソーシングに対して共通に機能する、全社的な情報セキュリティ管理基盤を整 備することが望ましい。
情報セキュリティ管理基盤は、アウトソーシングにおける情報セキュリティ管理体制、 各種規定(アウトソーシング先選定基準、情報セキュリティ要求事項、契約書ひな型、報 告形式等)や推奨アウトソーシング先リストなど、アウトソーシングプロジェクトを情 報セキュリティの観点から組織横断的に管理するための共通プラットフォームとして機能 するものである。
3.1. 情報セキュリティ管理基盤の整備方法と実行・評価プロセスへの活用
- 情報セキュリティ管理基盤には、次の要素が含まれる。
+ 組織横断的体制の整備: 企業内部にアウトソーシングの情報セキュリティ管理を行うための組織横断的な体制を構築する。
+ 規定の整備: アウトソーシングの実行・評価プロセスにおいて、統一した情報セキュリティレベルを確保するための各種規定を整備する。
+ モニタリング・監査体制の整備: 個々のアウトソーシング先における情報セキュリティ遵守状況に関するモニタリング(オフサイト監視/オンサイト監視)・監査(内部監査/外部監査)体制を整備する。
- アウトソーシングの実行・評価プロセスにおける情報セキュリティ管理 現場担当者は、情報セキュリティ管理基盤を活用して、各実行・評価プロセスの情報セ キュリティ対策を実装する。
- 情報セキュリティ管理基盤と各実行・評価プロセスの関係 現場担当者は、個々のアウトソーシングにおいて顕在化した課題や問題を情報セキュリ ティ管理基盤にフィードバックすることで、社内プロセスの改善に繋げる。
3.2.契約書フォーマットの作成
アウトソーシング先との契約には、関連する情報セキュリティに係る条項を含めることが望ましい。また、問題が発生した際の対処方法についても明確化しておくことが望ましい。
a. 情報セキュリティ要求事項
情報セキュリティに係る要求事項については、管理策を示すだけでなく、実施状況の確
認方法(定期的な報告、モニタリング、監査の実施等)や、不備があった場合の対応に
まで踏み込んだ明確な取り決めを行う。
含めることが考えられる項目:
・ 情報セキュリティ管理策
・ 報告の方法
・ 監査の実施
・ 再委託の禁止、又は再委託制限に関する事項(再委託の事前報告/承認)
・ 情報セキュリティ上の不備への対応
b. 関連する契約
情報セキュリティ要求事項に加え、秘密保持契約(NDA)やサービ水準合意契約(SLA)など、情報セキュリティに係る契約が必要となる場合がある。
・ 知的財産権の取扱
・ NDA の取り交わし
・ SLA の取り交わし
...
c. 事故が発生した際の対応
契約期間中に情報セキュリティ事故が発生した場合の対応として、契約書の中で、責任
の所在、応急対応/復旧対応等の実施主体、及び具体的な対応方法について明確にする。
・ アウトソーシング先の廃業、買収時の取り決め19
・ 事故対応時の調査の実施、費用の負担
・ 事故発生時の協力体制(発注元従業員の介入・協働)
・ 準拠法、仲裁裁判所
...
d. その他
・ 法的要求事項(個人情報保護法等)
・ 契約締結前の作業への着手
・ 成果物に対するセキュリティ
…
3.3.情報セキュリティ対策状況の報告形式の作成
アウトソーシング先の情報セキュリティ対策状況をモニタリングするために、情報セキ ュリティ要求事項の遵守状況を確認するためのチェックシートや報告形式を作成する。
a. 情報セキュリティ対策チェックシート
アウトソーシング先の情報セキュリティ対策状況に関する情報を確認するために、セキ ュリティ要求事項に沿った形のチェックシートを作成する。
b. 報告形式
情報セキュリティの実施状況に加え、体制の変化や情報の移動など、情報セキュリティに係る情報共有のために、アウトソーシング先に記入・提出を求めるための報告形式を 作成する。
(報告形式に含めることが考えられる項目)
・ 秘密情報の受け渡し履歴、閲覧履歴
・ 再委託時の再委託先との情報受け渡し履歴
4. まとめ
企業活動のグローバル化の進展とともに、海外アウトソーシングの利用が拡大しており、企業が保有する技術情報等を海外企業に預託する際の漏えいリスク等、新たな種類のリスクが発生している。
守秘義務のために, 法的基準に則った施設(センター設備)、プロの運用方式による厳格な運用方式、最新の技術を駆使したインターネット・セキュリティ対策、必要に応じて保証範囲を明確にした契約を構築することができる。
オフショア開発をご検討されている方々はぜひ一度ご相談ください。
※以下通り弊社の連絡先
アカウントマネージャー: クアン(日本語・英語対応可)
電話番号: (+84)2462 900 388
お電話でのご相談/お申し込み等、お気軽にご連絡くださいませ。
- オフショア開発
- エンジニア人材派遣
- ラボ開発
- ソフトウェアテスト
電話番号: (+84)2462 900 388
メール: contact@hachinet.com
お電話でのご相談/お申し込み等、お気軽にご連絡くださいませ。
無料見積もりはこちらから
Tags
ご質問がある場合、またはハチネットに協力する場合
こちらに情報を残してください。折り返しご連絡いたします。
関連記事

設計書とは?基本設計書・詳細設計書の書き方、現場で使えるテンプレート構成を徹底解説!【保存版】
システム開発において、「設計書」はただのドキュメントではなく、開発チーム全体をつなぐ“共通言語”として非常に重要な役割を果たします。要件を満たしたシステムを効率よく、かつ高品質に構築するためには、基本設計書と詳細設計書を正しく作成・活用することが不可欠です。しかし、現場では「どこまで書けばいいのか」「何を含めるべきか」に悩む声も少なくありません。本記事では、設計書の基本構成から具体的な書き方、各項目のポイントまでわかりやすく解説していきます。

設定書とは?仕様書との違いと現場での使い分けを徹底解説
システム開発やインフラ構築の現場において、「設定書」はプロジェクトの再現性・安定稼働・保守性を支える不可欠なドキュメントです。しかし「仕様書との違いがよく分からない」「どうやって書けばいいか曖昧」と感じる方も少なくありません。本記事では、設定書の定義や目的を明確にし、仕様書との違いや使い分け方、実際の記載例、現場で活用されるベストプラクティスまで、現役エンジニア視点でわかりやすく解説します。これからドキュメント整備に取り組む方、品質向上を図りたいプロジェクトマネージャー、開発・運用双方の立場を理解したい方にとって、実践的で有益な内容となっています。

「外部設計」と「内部設計」とは?それぞれの違いと作業内容を解説
システム開発において、「設計書」は単なる形式的な書類ではなく、プロジェクトの成否を大きく左右する重要なドキュメントです。開発スピードや柔軟性が求められる現代においても、設計書をしっかりと整備することで、品質の高いソフトウェア開発、チーム内の認識共有、そして保守性・拡張性の確保につながります。本記事では、設計書の基本から外部設計・内部設計の違い、良い設計書の条件まで、10年以上の実務経験を踏まえてわかりやすく解説します。

設計書とは?基本設計書と詳細設計書の違い・書き方・チェック項目を徹底解説
システム開発において、「設計書」はプロジェクトの成否を左右する非常に重要なドキュメントです。要件定義から実装、テスト、運用に至るまで、すべての工程において設計書が正しく整備されているかどうかで、品質や納期、メンテナンス性に大きな影響を与えます。特に「基本設計書」と「詳細設計書」は役割が異なり、それぞれの目的や構成を正しく理解して書き分けることが求められます。本記事では、設計書の基本から、具体的な記載項目、レビュー時のチェックポイントまでを、実務経験をもとにわかりやすく解説していきます。

シナリオテストとは?書き方・作り方・具体例まで徹底解説
現代のソフトウェア開発では、単なる機能テストだけではユーザー満足を得ることが難しくなっています。そんな中で注目されているのが「シナリオテスト」という手法です。ユーザーの実際の操作フローに沿ってシステムを検証することで、より現実的なバグ検出やUX改善が可能になります。本記事では、シナリオテストとは何か、その作り方・書き方・具体例まで、初心者でも実践できる内容を丁寧に解説します。

シナリオテストとは?単体テストとの違いと実施ポイントをわかりやすく解説
現代のソフトウェア開発において、「テスト」は単なるバグ探しではなく、ユーザー体験と品質を守るための戦略的なプロセスとなっています。その中でも「シナリオテスト」は、実際の業務フローやユーザー操作に基づいてアプリケーション全体の動作を確認できるテスト手法として、ますます注目を集めています。一方で、「単体テストとの違いがわからない」「どう設計すれば良いのか不明」といった悩みも多く聞かれます。本記事では、シナリオテストの基本的な概念や目的、単体テストとの違い、実施方法、現場での課題と対策までを網羅的に解説し、初心者から実務担当者まで役立つ内容を丁寧に紹介します。

シナリオテストとは?結合テストとの違い・実施ポイントを徹底解説
現代のソフトウェア開発において、品質保証はプロダクトの信頼性とユーザー満足度を左右する極めて重要な工程です。中でも、実際のユーザー行動を再現してテストを行う「シナリオテスト」は、単なる機能検証では見落とされがちな課題を浮き彫りにする手法として注目されています。本記事では、シナリオテストの定義や特徴、設計のポイントを解説するとともに、よく混同されがちな「結合テスト」との違いについてもわかりやすく整理します。

シナリオテストとは?目的・書き方・注意点まで徹底解説【現場で役立つ実践ガイド】
システム開発が複雑化し、ユーザー体験が重視される現代において、単なる機能確認では不十分な時代となりました。そこで注目されているのが「シナリオテスト」です。これは実際のユーザー操作や業務フローを再現しながら、アプリやシステムが期待通りに動作するかを総合的に検証するテスト手法です。本記事では、シナリオテストの定義から書き方、現場での活用方法や注意点まで、ITエンジニア・QA担当者・PM向けにわかりやすく解説していきます。

AIで不良品を検出?Pythonで製造業向け画像検査システムを作ってみた
近年、製造業の現場ではAI技術の導入が急速に進んでおり、なかでも「Pythonによる画像認識」は、不良品の自動検出や検査工程の省力化を実現する手段として注目を集めています。従来の目視検査は人手や経験に依存する部分が多く、検査ミスや属人化といった課題がありましたが、AIを活用すれば、より安定した品質管理と作業効率の向上が可能になります。本記事では、「Python 画像 認識」をキーワードに、実際に製造業向けの画像検査システムを構築した事例を交えながら、使用した技術や開発の流れ、実運用に向けたポイントについて詳しく解説していきます。

【リアルタイム画像認識入門】PythonとYOLOv8で物体検出をはじめよう!
AIやディープラーニング技術の進化により、「画像認識」はもはや研究室だけのものではなく、誰でも手軽に扱える技術となりました。中でも、物体検出アルゴリズム「YOLO」は、高速かつ高精度なリアルタイム処理が可能で、実用性の高さから注目を集めています。本記事では、Pythonを使ってYOLOv8を実装し、リアルタイムで物体を検出する方法を、初心者にも分かりやすく解説します。

Pythonを使った画像認識の始め方|初心者でもできるステップ
近年、AI技術の急速な進歩により、画像認識は医療、製造、自動運転など幅広い分野で重要な役割を担っています。中でもPythonは、豊富なライブラリと扱いやすさから、初心者でも手軽に画像認識の開発に挑戦できる言語として注目されています。本記事では、Pythonを使った画像認識の基本的な手順から初心者におすすめの学習方法まで、専門知識を持つ筆者が分かりやすく解説します。これから画像認識を学びたい方やAI技術に興味のある方の入門ガイドとして役立つ内容です。

Pythonを使った画像認識とは?仕組み・活用例・おすすめライブラリを徹底解説【OpenCVも紹介】
近年、AI技術の進化により、「画像認識」は様々な業界で注目される技術となりました。なかでも、Pythonはそのシンプルな構文と豊富なライブラリ群により、画像認識の開発現場で最も選ばれているプログラミング言語の一つです。製造現場での外観検査、小売業での棚在庫管理、医療分野での画像診断など、用途は年々拡大しています。本記事では、Pythonを使った画像認識の基本的な仕組みから、実際にできること、業務活用の視点、さらにはOpenCVを活用した開発手法まで、専門的な内容をやさしく解説します。画像認識に興味のあるエンジニア、業務へのAI活用を検討している方、そしてDXを推進したい企業担当者にとっても、実践的なヒントが得られる内容となっています。

【2025年最新版】AIで進化するウォーターフォール開発|エラー削減・効率化を実現するスマート統合とは?
ウォーターフォール開発は、要件の安定性や厳格な管理体制が求められるシステム開発において、今なお多くの企業で活用されています。しかし、変化の激しい現代においては、その柔軟性の低さや開発スピードの遅さが課題視されがちです。そこで注目されているのが、AI(人工知能)との統合です。本記事では、AIを活用してウォーターフォール開発をどのように効率化・高度化できるのか、具体的な活用方法や導入事例、最新のスマートツールまで、10年以上IT領域で執筆を続ける筆者が徹底的に解説します。

ウォーターフォール×アジャイルの融合:2025年型ハイブリッド開発とは?
長らく「古い開発モデル」として見られてきたウォーターフォールモデル。しかし、現実の現場では未だに多くの企業がこのモデルを採用し続けています。特に大規模プロジェクトや、金融・医療・公共系のシステム開発では、その構造化された進行と明確なドキュメント管理が重視されています。一方、アジャイル開発は「スピードと柔軟性」を重視する現代的な手法として広がりを見せましたが、管理や品質面での課題が浮き彫りになる場面もあります。そのような背景から、今業界で注目されているのが「ハイブリッド開発」。

ウォーターフォールとアジャイルの違いとは?徹底比較&実践ガイド
近年、システム開発の現場ではアジャイル開発が注目される一方で、ウォーターフォール開発も根強い支持を受けています。どちらの手法にもメリット・デメリットがあり、プロジェクトに応じた選択が重要です。本記事では、両者の違いを7つの観点から徹底比較し、さらに使い分けのポイントやハイブリッド開発の可能性についても解説します。

ウォーターフォール開発とは?流れ・メリット・デメリットやさしく解説!
システム開発やWebアプリ制作の話をするとき、「ウォーターフォール開発」という言葉を聞いたことがある方も多いのではないでしょうか?特に企業での大規模プロジェクトや、SIerなどの受託開発でよく採用される伝統的な手法の一つです。この記事では、ウォーターフォール開発の特徴から流れ、メリット・デメリット、そして他の開発モデルとの違いまで、初心者の方でもわかりやすく丁寧に解説します。