情報セキュリティ(IS)とは?アウトソーシングに関する 情報セキュリティ管理
サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外部に預託せざるを得ない状況が多く見られるようになってきた。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっている。
2021年03月05日
サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外部に預託せざるを得ない状況が多く見られるようになってきた。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっている。
サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外部に預託せざるを得ない状況が多く見られるようになってきた。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっている。
1.情報セキュリティ(IS)とは?
セキュリティ管理とは、ネットワーク上での安全性を確保するために行う、システム運用管理の1つです。具体的には、以下の管理が該当します。
ハードウェア管理:端末へのパスワード設定やバックアップなど
ソフトウェア管理:アクセス権限の設定など
ウイルス対策:セキュリティソフトの導入や定期的なスキャン
ネットワーク防御:ファイアウォールの設置、通信暗号化など
情報セキュリティを保つために欠かせない3要素が「機密性」「完全性」「可用性」です。
機密性:アクセスを認可された者だけが、情報にアクセスできるようにすること
完全性:情報および処理方法が正確であること及び完全であること
可用性:認可された利用者が、必要なときに情報及び関連する資産にアクセスできることを確実にすること
厳しいアクセス制限や認証プロセスの複雑化をし、機密性を高くしても、例えば従業員がデータにアクセスするまでに時間がかかる状態、つまり可用性の低い状態であれば、それは適切な情報セキュリティが確保できていないということになります。
2. 情報資産への脅威
部外者による脅威
建物侵入による情報資産の破壊、・盗難、故意の不正アクセスまたは不正操作による情報資産の破壊・盗難・改ざん・消去など
社員・社内関係者(外部委託業者)による脅威
日本において極めて特徴的で多い脅威である。意図しない故意の不正アクセス又は不正操作によるデータやプログラムの持ち出し・改ざん・消去、機器または記録媒体の盗難、規定外の機器操作によるデータ漏えいやシステムの停止など
インターネット利用による脅威
盗聴、改ざん、なりすまし、侵入、妨害、不正アクセス、機密漏えい、ウイルスなど
3. アウトソーシングに係る情報セキュリティ管理
アウトソーシングは、委託する業務によって形態や規模は様々であり、アウトソーシン グ業務を、担当部署毎に個別管理していると、部署毎・案件毎に情報セキュリティレベル に大きな差が生じてしまう。
そこで、計画プロセスにおいては、個々のアウトソーシング業務から発生する情報セキ ュリティリスクに対応するため、アウトソーシング戦略及び情報セキュリティ戦略に基づ き、アウトソーシングに対して共通に機能する、全社的な情報セキュリティ管理基盤を整 備することが望ましい。
情報セキュリティ管理基盤は、アウトソーシングにおける情報セキュリティ管理体制、 各種規定(アウトソーシング先選定基準、情報セキュリティ要求事項、契約書ひな型、報 告形式等)や推奨アウトソーシング先リストなど、アウトソーシングプロジェクトを情 報セキュリティの観点から組織横断的に管理するための共通プラットフォームとして機能 するものである。
3.1. 情報セキュリティ管理基盤の整備方法と実行・評価プロセスへの活用
- 情報セキュリティ管理基盤には、次の要素が含まれる。
+ 組織横断的体制の整備: 企業内部にアウトソーシングの情報セキュリティ管理を行うための組織横断的な体制を構築する。
+ 規定の整備: アウトソーシングの実行・評価プロセスにおいて、統一した情報セキュリティレベルを確保するための各種規定を整備する。
+ モニタリング・監査体制の整備: 個々のアウトソーシング先における情報セキュリティ遵守状況に関するモニタリング(オフサイト監視/オンサイト監視)・監査(内部監査/外部監査)体制を整備する。
- アウトソーシングの実行・評価プロセスにおける情報セキュリティ管理 現場担当者は、情報セキュリティ管理基盤を活用して、各実行・評価プロセスの情報セ キュリティ対策を実装する。
- 情報セキュリティ管理基盤と各実行・評価プロセスの関係 現場担当者は、個々のアウトソーシングにおいて顕在化した課題や問題を情報セキュリ ティ管理基盤にフィードバックすることで、社内プロセスの改善に繋げる。
3.2.契約書フォーマットの作成
アウトソーシング先との契約には、関連する情報セキュリティに係る条項を含めることが望ましい。また、問題が発生した際の対処方法についても明確化しておくことが望ましい。
a. 情報セキュリティ要求事項
情報セキュリティに係る要求事項については、管理策を示すだけでなく、実施状況の確
認方法(定期的な報告、モニタリング、監査の実施等)や、不備があった場合の対応に
まで踏み込んだ明確な取り決めを行う。
含めることが考えられる項目:
・ 情報セキュリティ管理策
・ 報告の方法
・ 監査の実施
・ 再委託の禁止、又は再委託制限に関する事項(再委託の事前報告/承認)
・ 情報セキュリティ上の不備への対応
b. 関連する契約
情報セキュリティ要求事項に加え、秘密保持契約(NDA)やサービ水準合意契約(SLA)など、情報セキュリティに係る契約が必要となる場合がある。
・ 知的財産権の取扱
・ NDA の取り交わし
・ SLA の取り交わし
...
c. 事故が発生した際の対応
契約期間中に情報セキュリティ事故が発生した場合の対応として、契約書の中で、責任
の所在、応急対応/復旧対応等の実施主体、及び具体的な対応方法について明確にする。
・ アウトソーシング先の廃業、買収時の取り決め19
・ 事故対応時の調査の実施、費用の負担
・ 事故発生時の協力体制(発注元従業員の介入・協働)
・ 準拠法、仲裁裁判所
...
d. その他
・ 法的要求事項(個人情報保護法等)
・ 契約締結前の作業への着手
・ 成果物に対するセキュリティ
…
3.3.情報セキュリティ対策状況の報告形式の作成
アウトソーシング先の情報セキュリティ対策状況をモニタリングするために、情報セキ ュリティ要求事項の遵守状況を確認するためのチェックシートや報告形式を作成する。
a. 情報セキュリティ対策チェックシート
アウトソーシング先の情報セキュリティ対策状況に関する情報を確認するために、セキ ュリティ要求事項に沿った形のチェックシートを作成する。
b. 報告形式
情報セキュリティの実施状況に加え、体制の変化や情報の移動など、情報セキュリティに係る情報共有のために、アウトソーシング先に記入・提出を求めるための報告形式を 作成する。
(報告形式に含めることが考えられる項目)
・ 秘密情報の受け渡し履歴、閲覧履歴
・ 再委託時の再委託先との情報受け渡し履歴
4. まとめ
企業活動のグローバル化の進展とともに、海外アウトソーシングの利用が拡大しており、企業が保有する技術情報等を海外企業に預託する際の漏えいリスク等、新たな種類のリスクが発生している。
守秘義務のために, 法的基準に則った施設(センター設備)、プロの運用方式による厳格な運用方式、最新の技術を駆使したインターネット・セキュリティ対策、必要に応じて保証範囲を明確にした契約を構築することができる。
オフショア開発をご検討されている方々はぜひ一度ご相談ください。
※以下通り弊社の連絡先
アカウントマネージャー: クアン(日本語・英語対応可)
電話番号: (+84)2462 900 388
お電話でのご相談/お申し込み等、お気軽にご連絡くださいませ。
- オフショア開発
- エンジニア人材派遣
- ラボ開発
- ソフトウェアテスト
電話番号: (+84)2462 900 388
メール: contact@hachinet.com
お電話でのご相談/お申し込み等、お気軽にご連絡くださいませ。
無料見積もりはこちらから
Tags
ご質問がある場合、またはハチネットに協力する場合
こちらに情報を残してください。折り返しご連絡いたします。
関連記事
Go言語の理解:シンプルさとパフォーマンスの力
プログラミング言語の中で、パフォーマンス、シンプルさ、スケーラビリティを兼ね備えた言語は数少ないですが、その中でも Go言語(別名 Golang)は特に注目されています。Goはバックエンド開発者、システムプログラマー、さらには大規模なクラウドネイティブアプリケーションにも使われています。それでは、Go言語は一体何が特別なのか?どうしてこれほど人気があるのでしょうか?本記事では、Goの起源、その主要な特徴、そして現在のソフトウェア開発における活用法について深掘りしていきます。
人工知能:IT業界における利点と弱点の探求
デジタル化の時代において、人工知能(AI)は、製造業や医療、カスタマーサービス、情報技術など、多くの分野において欠かせない存在となっています。AIの急速な発展は、新しい機会を開くと同時に、IT業界やベトナムのITエンジニアに対して多くの課題をもたらしています。プロセスの自動化、大量のデータの分析、顧客体験の向上を実現するAIは、私たちの働き方や生活の仕方に深い変化をもたらしています。この記事では、人工知能の概念、IT業界にもたらす利点、そしてこの技術がもたらす弱点や課題について探求していきます。
EORサービスを利用すべき企業
Employer of Record (EOR)サービスは、国際市場に拡大したい企業にとって最適なソリューションです。特に、法的な複雑さや人事管理の課題に直面することなく、グローバルな人材を採用する必要がある企業にとって、非常に有益です。以下に、EORサービスを利用すべき企業の詳細を示します。
Employer of Record (EOR) とラボ型開発の違い
現在のグローバル化したビジネスの世界では、海外に事業を拡大する企業がますます増えています。その際に発生する課題の1つは、現地の法律に準拠した労務管理です。このようなニーズに応えるために、Employer of Record (EOR)とラボ型開発という2つのモデルが広く利用されています。それぞれの違いについて詳しく見てみましょう。
EOR(Employer of Record)と従来の採用方法の違い
現代のグローバル市場において、特にIT業界では、優れた人材を迅速に採用することが競争力の鍵となります。特にベトナムのITエンジニアは、その技術力とコスト効率の良さから、世界中の企業に注目されています。そんな中、採用方法として注目を浴びているのがEOR(Employer of Record)です。この記事では、EORとは何か、従来の採用方法とどう異なるのかを解説します。
PEOとEORの違い
グローバルなビジネスの拡大に伴い、企業は国境を越えた人材の雇用と管理に直面することが多くなっています。この際、PEO(Professional Employer Organization)や EOR(Employer of Record)といった外部のサービスを利用することで、法的な手続きを簡略化し、現地の規制に準拠した雇用管理を行うことができます。しかし、PEOとEORにはそれぞれ異なる特徴があり、企業のニーズに応じてどちらを選択すべきかを判断することが重要です。この記事では、PEOとEORの定義とその違いについて詳しく説明し、特にIT業界でどちらのサービスが適しているかを考察します。