情報セキュリティ(IS)とは?アウトソーシングに関する 情報セキュリティ管理
サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外部に預託せざるを得ない状況が多く見られるようになってきた。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっている。
2021年03月05日
サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外部に預託せざるを得ない状況が多く見られるようになってきた。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっている。
サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外部に預託せざるを得ない状況が多く見られるようになってきた。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっている。
1.情報セキュリティ(IS)とは?
セキュリティ管理とは、ネットワーク上での安全性を確保するために行う、システム運用管理の1つです。具体的には、以下の管理が該当します。
ハードウェア管理:端末へのパスワード設定やバックアップなど
ソフトウェア管理:アクセス権限の設定など
ウイルス対策:セキュリティソフトの導入や定期的なスキャン
ネットワーク防御:ファイアウォールの設置、通信暗号化など
情報セキュリティを保つために欠かせない3要素が「機密性」「完全性」「可用性」です。
機密性:アクセスを認可された者だけが、情報にアクセスできるようにすること
完全性:情報および処理方法が正確であること及び完全であること
可用性:認可された利用者が、必要なときに情報及び関連する資産にアクセスできることを確実にすること
厳しいアクセス制限や認証プロセスの複雑化をし、機密性を高くしても、例えば従業員がデータにアクセスするまでに時間がかかる状態、つまり可用性の低い状態であれば、それは適切な情報セキュリティが確保できていないということになります。
2. 情報資産への脅威
部外者による脅威
建物侵入による情報資産の破壊、・盗難、故意の不正アクセスまたは不正操作による情報資産の破壊・盗難・改ざん・消去など
社員・社内関係者(外部委託業者)による脅威
日本において極めて特徴的で多い脅威である。意図しない故意の不正アクセス又は不正操作によるデータやプログラムの持ち出し・改ざん・消去、機器または記録媒体の盗難、規定外の機器操作によるデータ漏えいやシステムの停止など
インターネット利用による脅威
盗聴、改ざん、なりすまし、侵入、妨害、不正アクセス、機密漏えい、ウイルスなど
3. アウトソーシングに係る情報セキュリティ管理
アウトソーシングは、委託する業務によって形態や規模は様々であり、アウトソーシン グ業務を、担当部署毎に個別管理していると、部署毎・案件毎に情報セキュリティレベル に大きな差が生じてしまう。
そこで、計画プロセスにおいては、個々のアウトソーシング業務から発生する情報セキ ュリティリスクに対応するため、アウトソーシング戦略及び情報セキュリティ戦略に基づ き、アウトソーシングに対して共通に機能する、全社的な情報セキュリティ管理基盤を整 備することが望ましい。
情報セキュリティ管理基盤は、アウトソーシングにおける情報セキュリティ管理体制、 各種規定(アウトソーシング先選定基準、情報セキュリティ要求事項、契約書ひな型、報 告形式等)や推奨アウトソーシング先リストなど、アウトソーシングプロジェクトを情 報セキュリティの観点から組織横断的に管理するための共通プラットフォームとして機能 するものである。
3.1. 情報セキュリティ管理基盤の整備方法と実行・評価プロセスへの活用
- 情報セキュリティ管理基盤には、次の要素が含まれる。
+ 組織横断的体制の整備: 企業内部にアウトソーシングの情報セキュリティ管理を行うための組織横断的な体制を構築する。
+ 規定の整備: アウトソーシングの実行・評価プロセスにおいて、統一した情報セキュリティレベルを確保するための各種規定を整備する。
+ モニタリング・監査体制の整備: 個々のアウトソーシング先における情報セキュリティ遵守状況に関するモニタリング(オフサイト監視/オンサイト監視)・監査(内部監査/外部監査)体制を整備する。
- アウトソーシングの実行・評価プロセスにおける情報セキュリティ管理 現場担当者は、情報セキュリティ管理基盤を活用して、各実行・評価プロセスの情報セ キュリティ対策を実装する。
- 情報セキュリティ管理基盤と各実行・評価プロセスの関係 現場担当者は、個々のアウトソーシングにおいて顕在化した課題や問題を情報セキュリ ティ管理基盤にフィードバックすることで、社内プロセスの改善に繋げる。
3.2.契約書フォーマットの作成
アウトソーシング先との契約には、関連する情報セキュリティに係る条項を含めることが望ましい。また、問題が発生した際の対処方法についても明確化しておくことが望ましい。
a. 情報セキュリティ要求事項
情報セキュリティに係る要求事項については、管理策を示すだけでなく、実施状況の確
認方法(定期的な報告、モニタリング、監査の実施等)や、不備があった場合の対応に
まで踏み込んだ明確な取り決めを行う。
含めることが考えられる項目:
・ 情報セキュリティ管理策
・ 報告の方法
・ 監査の実施
・ 再委託の禁止、又は再委託制限に関する事項(再委託の事前報告/承認)
・ 情報セキュリティ上の不備への対応
b. 関連する契約
情報セキュリティ要求事項に加え、秘密保持契約(NDA)やサービ水準合意契約(SLA)など、情報セキュリティに係る契約が必要となる場合がある。
・ 知的財産権の取扱
・ NDA の取り交わし
・ SLA の取り交わし
...
c. 事故が発生した際の対応
契約期間中に情報セキュリティ事故が発生した場合の対応として、契約書の中で、責任
の所在、応急対応/復旧対応等の実施主体、及び具体的な対応方法について明確にする。
・ アウトソーシング先の廃業、買収時の取り決め19
・ 事故対応時の調査の実施、費用の負担
・ 事故発生時の協力体制(発注元従業員の介入・協働)
・ 準拠法、仲裁裁判所
...
d. その他
・ 法的要求事項(個人情報保護法等)
・ 契約締結前の作業への着手
・ 成果物に対するセキュリティ
…
3.3.情報セキュリティ対策状況の報告形式の作成
アウトソーシング先の情報セキュリティ対策状況をモニタリングするために、情報セキ ュリティ要求事項の遵守状況を確認するためのチェックシートや報告形式を作成する。
a. 情報セキュリティ対策チェックシート
アウトソーシング先の情報セキュリティ対策状況に関する情報を確認するために、セキ ュリティ要求事項に沿った形のチェックシートを作成する。
b. 報告形式
情報セキュリティの実施状況に加え、体制の変化や情報の移動など、情報セキュリティに係る情報共有のために、アウトソーシング先に記入・提出を求めるための報告形式を 作成する。
(報告形式に含めることが考えられる項目)
・ 秘密情報の受け渡し履歴、閲覧履歴
・ 再委託時の再委託先との情報受け渡し履歴
4. まとめ
企業活動のグローバル化の進展とともに、海外アウトソーシングの利用が拡大しており、企業が保有する技術情報等を海外企業に預託する際の漏えいリスク等、新たな種類のリスクが発生している。
守秘義務のために, 法的基準に則った施設(センター設備)、プロの運用方式による厳格な運用方式、最新の技術を駆使したインターネット・セキュリティ対策、必要に応じて保証範囲を明確にした契約を構築することができる。
オフショア開発をご検討されている方々はぜひ一度ご相談ください。
※以下通り弊社の連絡先
アカウントマネージャー: クアン(日本語・英語対応可)
電話番号: (+84)2462 900 388
お電話でのご相談/お申し込み等、お気軽にご連絡くださいませ。
- オフショア開発
- エンジニア人材派遣
- ラボ開発
- ソフトウェアテスト
電話番号: (+84)2462 900 388
メール: contact@hachinet.com
お電話でのご相談/お申し込み等、お気軽にご連絡くださいませ。
無料見積もりはこちらから
Tags
ご質問がある場合、またはハチネットに協力する場合
こちらに情報を残してください。折り返しご連絡いたします。
関連記事
アプリとWebの違いを知らないと損?成功するチーム構成と必要スキルとは
アプリとWebのサービスは、私たちの日常に深く関わっていますが、実際の開発現場ではその構造や進め方、求められるスキル、チーム構成に大きな違いがあります。本記事では、「アプリとWebの違い」というテーマを中心に、それぞれの開発プロセスや必要な職種・スキル、チーム編成の変化についてわかりやすく解説します。これから開発を始める方、チーム構成を見直したい方にとって、実践的な視点を提供します。
アプリとWebアプリの違いを徹底比較!できること・できないことを技術視点で解説
現代のWeb技術の進化により、アプリとWebアプリの違いは「見た目」だけでは判断できないほどに接近しています。しかし、内部の仕組みや利用できる機能には明確な違いがあり、目的や要件に応じた適切な技術選定がますます重要になっています。本記事では、エンジニア視点から「アプリとWebアプリの技術的な違い」に焦点を当て、Webアプリで“できること”と“できないこと”を具体的に解説します。PWAなどの最新技術にも触れながら、Webアプリの可能性と限界を正しく理解する手助けとなる内容をお届けします。
名刺管理の常識を変える。AIクラウドツールBoxCardでビジネスを加速
商談やイベントのたびに名刺が増えていく──それは人脈が広がる喜びである一方、管理の負担でもあります。必要な名刺がすぐ見つからない、入力に時間がかかる、そんな小さな非効率が積み重なると、ビジネス全体のスピードを鈍らせます。BoxCardは、AIによる自動スキャンとクラウド保存で、この「名刺管理の手間」を根本から解消するために生まれた次世代ツールです。撮影するだけで正確なデータ化と自動整理を実現し、忙しいビジネスパーソンの時間を取り戻します。紙の名刺を“活用できるデータ資産”へ変える、それがBoxCardの使命です。
従来の名刺管理ツールを超える──BoxCardが選ばれる理由
営業先や展示会で名刺をもらっても、後から「どこに置いたっけ?」と探す時間がかかる──そんな経験はありませんか。名刺管理はシンプルな作業に見えて、実は多くのビジネスパーソンが抱える生産性の落とし穴です。BoxCardは、その課題を根本から解決するために生まれた次世代の名刺管理ツールです。AIによる高精度スキャンと自動整理機能で、もらった名刺を“データ資産”としてクラウドに安全に保管。入力も整理も不要、数秒で検索できる名刺管理の新しい形を提供します。ビジネスのスピードを落とさない、あなた専用のスマート管理パートナー。それが当社のBoxCardです。
WebアプリでよくあるUX失敗とは?デバイス対応の落とし穴と解決法を徹底解説
近年、Webアプリの利用が急速に拡大し、スマートフォンやタブレットなど多様なデバイスからのアクセスが当たり前になっています。一方で、ネイティブアプリと比較すると、Webアプリはデバイス固有の機能や操作性を十分に活かしにくく、UX(ユーザーエクスペリエンス)設計が難しい面があります。本記事では、「アプリ web 違い」を踏まえつつ、特にWebアプリで陥りやすいUXの失敗例を紹介し、具体的な回避策を解説します。ユーザー視点に立ったUX改善のヒントをお届けし、モバイルUXの質を高めるためのポイントを押さえましょう。
アプリ vs Webアプリ:今選ぶべきはPWA?その違いと最新動向
スマートフォンが日常生活に欠かせない存在となった今、企業や開発者にとって「アプリ」と「Web」のどちらを選ぶべきかという問題は、より重要性を増しています。従来は、リッチな機能や操作性を求めるならネイティブアプリ、手軽さや幅広い対応を重視するならWebという棲み分けが一般的でした。しかし近年では、Web技術の進化とともに登場したPWA(Progressive Web App)により、この境界線が曖昧になりつつあります。本記事では、「アプリ web 違い」という視点から、PWAを含む各技術の特徴、メリット・デメリット、今後の可能性について詳しく解説します。
アプリとWebの違いとは?セキュリティの観点から徹底比較|安全性とリスクを見極める
新しいサービスやシステムを構築する際、「アプリにするべきか、それともWebベースで始めるべきか?」という疑問は多くの企業や開発者に共通するテーマです。特にセキュリティの観点から見ると、両者には設計思想やリスクへの対処法に明確な違いがあります。本記事では、「アプリweb 違い」を中心に、両者の基本的な構造とセキュリティ対策を比較しながら、それぞれの強みと弱点をわかりやすく解説します。安全性・更新性・ユーザー認証などの観点から、どのような場面でどちらを選ぶべきか、実際のユースケースも踏まえて検討していきます。
アプリとWebの違いとは?初心者にもわかる基礎知識を丁寧に解説
スマホやパソコンで日々使っている「アプリ」と「Webサービス」、その違いをご存知でしょうか?見た目や操作は似ていますが、開発方法や機能、使われ方には明確な違いがあります。この記事では、初心者の方にもわかりやすく、「アプリとWebの違い」について基本から丁寧に解説していきます。これからアプリ開発やサービス導入を検討している方にとって、判断の手助けになる内容です。
ゲームβテスト後に成功する“ガチ改善ロードマップ”の作り方|改善点の優先順位とチーム合意形成の秘訣
ゲームβテストは、リリース前にユーザーから実際のプレイフィードバックや行動データを収集し、バグやUIの使い勝手、ゲームバランスの課題を明らかにする重要なフェーズです。しかし、集めたデータや感想をそのまま放置していては意味がありません。テスト後は、改善点の優先順位を明確にし、チーム全員が納得したうえで効率的に対応していくことが求められます。特に、影響度や修正コスト、緊急度を基準に客観的に課題を評価し、Slackなどのコミュニケーションツールを活用した対話を通じて合意形成を図ることが、スムーズな改善プロセスに不可欠です。
ゲームバランス崩壊の前兆は、βテストで現れるのか?バランス設計者とユーザー視点の融合で見抜く兆候
ゲーム開発において「バランス設計」は極めて繊細で難易度の高い作業です。とりわけ、リリース前のβテストは、ユーザー視点を交えてバランス崩壊の兆候を見極める最後のチャンスとも言えます。バグだけでなく、"壊れスキル" や "メタ環境の固定化"、過剰または不親切なUIなど、見逃すと後に致命的となるポイントは数多く存在します。本記事では、バランス設計者の意図と実際のプレイヤー行動とのギャップに注目し、βテスト中に表れるバランス崩壊のサインをどう読み取るべきかを解説します。
海外プレイヤーの反応が“真逆”だった話|文化とゲームβテストの意外な関係
ゲーム開発におけるβテスト(ベータテスト)は、単なるバグの検出やバランス調整だけでなく、ユーザーの体験や反応を事前に把握するための重要な手段です。特に近年では、国内市場に留まらずグローバル展開を前提としたタイトルが増えており、他国プレイヤーを含めたβテストの設計と分析が求められています。しかし、同じゲームを同じタイミングでリリースしても、文化や価値観の違いによって、まったく異なるフィードバックが返ってくることがあります。本記事では、実際に発生した「日本と他国プレイヤーの反応が真逆だった」事例をもとに、文化的背景がβテストの結果にどのような影響を与えるのか、そして文化の違いをどのようにテスト設計やマーケティング戦略に取り入れるべきかについて、詳しく掘り下げていきます。