×

情報セキュリティ(IS)とは?アウトソーシングに関する 情報セキュリティ管理

サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外部に預託せざるを得ない状況が多く見られるようになってきた。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっている。

 2021年03月05日

サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外部に預託せざるを得ない状況が多く見られるようになってきた。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっている。

サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外部に預託せざるを得ない状況が多く見られるようになってきた。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっている。

 

1.情報セキュリティ(IS)とは?


セキュリティ管理とは、ネットワーク上での安全性を確保するために行う、システム運用管理の1つです。具体的には、以下の管理が該当します。

ハードウェア管理:端末へのパスワード設定やバックアップなど

ソフトウェア管理:アクセス権限の設定など

ウイルス対策:セキュリティソフトの導入や定期的なスキャン

ネットワーク防御:ファイアウォールの設置、通信暗号化など

情報セキュリティを保つために欠かせない3要素が「機密性」「完全性」「可用性」です。

機密性:アクセスを認可された者だけが、情報にアクセスできるようにすること

完全性:情報および処理方法が正確であること及び完全であること

可用性:認可された利用者が、必要なときに情報及び関連する資産にアクセスできることを確実にすること

厳しいアクセス制限や認証プロセスの複雑化をし、機密性を高くしても、例えば従業員がデータにアクセスするまでに時間がかかる状態、つまり可用性の低い状態であれば、それは適切な情報セキュリティが確保できていないということになります。

 

2. 情報資産への脅威


 

  部外者による脅威
建物侵入による情報資産の破壊、・盗難、故意の不正アクセスまたは不正操作による情報資産の破壊・盗難・改ざん・消去など

 社員・社内関係者(外部委託業者)による脅威
日本において極めて特徴的で多い脅威である。意図しない故意の不正アクセス又は不正操作によるデータやプログラムの持ち出し・改ざん・消去、機器または記録媒体の盗難、規定外の機器操作によるデータ漏えいやシステムの停止など

 インターネット利用による脅威
盗聴、改ざん、なりすまし、侵入、妨害、不正アクセス、機密漏えい、ウイルスなど

 

3. アウトソーシングに係る情報セキュリティ管理


アウトソーシングは、委託する業務によって形態や規模は様々であり、アウトソーシン グ業務を、担当部署毎に個別管理していると、部署毎・案件毎に情報セキュリティレベル に大きな差が生じてしまう。
そこで、計画プロセスにおいては、個々のアウトソーシング業務から発生する情報セキ ュリティリスクに対応するため、アウトソーシング戦略及び情報セキュリティ戦略に基づ き、アウトソーシングに対して共通に機能する、全社的な情報セキュリティ管理基盤を整 備することが望ましい。

情報セキュリティ管理基盤は、アウトソーシングにおける情報セキュリティ管理体制、 各種規定(アウトソーシング先選定基準、情報セキュリティ要求事項、契約書ひな型、報 告形式等)や推奨アウトソーシング先リストなど、アウトソーシングプロジェクトを情 報セキュリティの観点から組織横断的に管理するための共通プラットフォームとして機能 するものである。

3.1. 情報セキュリティ管理基盤の整備方法と実行・評価プロセスへの活用

- 情報セキュリティ管理基盤には、次の要素が含まれる。

 + 組織横断的体制の整備: 企業内部にアウトソーシングの情報セキュリティ管理を行うための組織横断的な体制を構築する。

 + 規定の整備: アウトソーシングの実行・評価プロセスにおいて、統一した情報セキュリティレベルを確保するための各種規定を整備する。

 + モニタリング・監査体制の整備: 個々のアウトソーシング先における情報セキュリティ遵守状況に関するモニタリング(オフサイト監視/オンサイト監視)・監査(内部監査/外部監査)体制を整備する。

- アウトソーシングの実行・評価プロセスにおける情報セキュリティ管理 現場担当者は、情報セキュリティ管理基盤を活用して、各実行・評価プロセスの情報セ キュリティ対策を実装する。

- 情報セキュリティ管理基盤と各実行・評価プロセスの関係 現場担当者は、個々のアウトソーシングにおいて顕在化した課題や問題を情報セキュリ ティ管理基盤にフィードバックすることで、社内プロセスの改善に繋げる。

3.2.契約書フォーマットの作成

アウトソーシング先との契約には、関連する情報セキュリティに係る条項を含めることが望ましい。また、問題が発生した際の対処方法についても明確化しておくことが望ましい。

a. 情報セキュリティ要求事項

情報セキュリティに係る要求事項については、管理策を示すだけでなく、実施状況の確
認方法(定期的な報告、モニタリング、監査の実施等)や、不備があった場合の対応に
まで踏み込んだ明確な取り決めを行う。

含めることが考えられる項目:

・ 情報セキュリティ管理策
・ 報告の方法
・ 監査の実施
・ 再委託の禁止、又は再委託制限に関する事項(再委託の事前報告/承認)
・ 情報セキュリティ上の不備への対応

b. 関連する契約
情報セキュリティ要求事項に加え、秘密保持契約(NDA)やサービ水準合意契約(SLA)など、情報セキュリティに係る契約が必要となる場合がある。

・ 知的財産権の取扱
・ NDA の取り交わし
・ SLA の取り交わし

...

c. 事故が発生した際の対応
契約期間中に情報セキュリティ事故が発生した場合の対応として、契約書の中で、責任
の所在、応急対応/復旧対応等の実施主体、及び具体的な対応方法について明確にする。

・ アウトソーシング先の廃業、買収時の取り決め19
・ 事故対応時の調査の実施、費用の負担
・ 事故発生時の協力体制(発注元従業員の介入・協働)
・ 準拠法、仲裁裁判所

...

d. その他

・ 法的要求事項(個人情報保護法等)
・ 契約締結前の作業への着手
・ 成果物に対するセキュリティ

3.3.情報セキュリティ対策状況の報告形式の作成

アウトソーシング先の情報セキュリティ対策状況をモニタリングするために、情報セキ ュリティ要求事項の遵守状況を確認するためのチェックシートや報告形式を作成する。

 a. 情報セキュリティ対策チェックシート 

アウトソーシング先の情報セキュリティ対策状況に関する情報を確認するために、セキ ュリティ要求事項に沿った形のチェックシートを作成する。

 b. 報告形式

 情報セキュリティの実施状況に加え、体制の変化や情報の移動など、情報セキュリティに係る情報共有のために、アウトソーシング先に記入・提出を求めるための報告形式を 作成する。 

(報告形式に含めることが考えられる項目)

 ・ 秘密情報の受け渡し履歴、閲覧履歴 

・ 再委託時の再委託先との情報受け渡し履歴

 

4. まとめ

企業活動のグローバル化の進展とともに、海外アウトソーシングの利用が拡大しており、企業が保有する技術情報等を海外企業に預託する際の漏えいリスク等、新たな種類のリスクが発生している。

守秘義務のために, 法的基準に則った施設(センター設備)、プロの運用方式による厳格な運用方式、最新の技術を駆使したインターネット・セキュリティ対策、必要に応じて保証範囲を明確にした契約を構築することができる。

オフショア開発をご検討されている方々はぜひ一度ご相談ください。

※以下通り弊社の連絡先

アカウントマネージャー: クアン(日本語・英語対応可)

電話番号: (+84)2462 900 388

メール:  konnichiwa@hachinet.com

お電話でのご相談/お申し込み等、お気軽にご連絡くださいませ。

 無料見積もりはこちらから▶

いずれかのサービスについてアドバイスが必要な場合は、お問い合わせください。
  • オフショア開発
  • エンジニア人材派遣
  • ラボ開発
  • ソフトウェアテスト
※以下通り弊社の連絡先
電話番号: (+84)2462 900 388
メール: contact@hachinet.com
お電話でのご相談/お申し込み等、お気軽にご連絡くださいませ。
無料見積もりはこちらから

Tags

ご質問がある場合、またはハチネットに協力する場合
こちらに情報を残してください。折り返しご連絡いたします。

 Message is sending ...

関連記事

 2025年08月18日

アプリケーションサーバーとは?代表的な例と仕組み・役割をわかりやすく解説

現代のソフトウェア開発において欠かせない存在であるアプリケーションサーバー。 しかし、「Webサーバーと何が違うの?」「Javaアプリケーションにしか使えないの?」といった疑問を持つ方も多いのではないでしょうか? 本記事では、アプリケーションサーバーの基本から仕組み、代表的な製品例、さらにはクラウド時代における役割の変化までを、現場目線でわかりやすく解説します。

 2025年08月17日

APサーバーとは?Webサーバーとの違いと連携の仕組みを徹底解説

現代のWebシステムは、高速かつ柔軟な対応が求められています。その中核を担うのが「APサーバー(アプリケーションサーバー)」です。しかし、「Webサーバーとどう違うの?」「両者は何をしているのか?」といった疑問を持つ方も多いでしょう。 この記事では、WebサーバーとAPサーバーの仕組み・違い・連携の流れを、初心者にも分かりやすく、かつ現場で役立つレベルまで解説します。

 2025年08月15日

APサーバーとは?基本からメリット・注意点までわかりやすく解説

「APサーバー(アプリケーションサーバー)」という言葉を聞いたことがあっても、実際にその役割やWebサーバーとの違いまで正しく理解している方は少ないかもしれません。 本記事では、APサーバーの基礎知識から、具体的な機能、導入するメリット、さらには利用時に注意すべきポイントまで、システム開発者・インフラエンジニア・IT初学者向けに丁寧に解説します。

 2025年08月14日

Spring Bootで結合テストを書く:実践的な例とベストプラクティス

現代のアジャイル開発やDevOpsにおいて、品質を担保しながらスピーディに機能をリリースするためには、自動化されたテスト戦略の構築が不可欠です。特にSpring Bootのようなエンタープライズ向けフレームワークでは、単体テストだけでなく、結合テストによってモジュール間の連携や実際のデータベースとのやり取りまで網羅することで、より現実的な不具合を早期に検出できます。本記事では、Spring Boot環境における結合テストの基本から実践的なコード例、そして効率的にテストを設計・実行するためのベストプラクティスまでを、現場で役立つ視点から詳しく解説します。

 2025年08月13日

アジャイル開発における単体テスト・結合テストの役割と実践ポイント

アジャイル開発が主流となった現代において、「迅速なリリース」と「高品質の両立」は多くの開発チームにとって大きな課題となっています。その中で、単体テストと結合テストは、単なる品質チェックの手段ではなく、開発プロセスに深く組み込まれた“価値提供の仕組み”として重要な役割を担っています。本記事では、アジャイル開発におけるテストの具体的な実践ポイントや自動化戦略を通じて、開発スピードと品質保証を両立させる方法を詳しく解説します。

 2025年08月12日

結合テストのツール完全比較:Postman・REST‑assured・TestContainersなどの活用ガイド

現代のソフトウェア開発において、APIやマイクロサービスの普及に伴い、「結合テスト」の重要性がますます高まっています。単体テストだけでは検出できない、複数のコンポーネント間の相互作用や、実際のインフラに近い動作を検証するためには、信頼性の高い結合テストが不可欠です。しかし、結合テストには学習コストや実装負担も伴うため、自社のプロジェクトやチーム構成に最適なツールを選定することが成功の鍵を握ります。本記事では、Postman、REST-assured、TestContainers をはじめとした主要な結合テストツールを比較し、それぞれの特徴・メリット・適用シーンを解説します。

 2025年08月11日

【2025年最新版】単体テストに最適な単体テストフレームワークトップ5

2025年現在、ソフトウェア開発において単体テスト(Unit Test)の重要性はこれまで以上に高まっています。CI/CD や DevOps の普及により、バグの早期発見、コードの品質向上、チーム全体の信頼性を高めるために、テスト自動化は欠かせない存在となりました。 本記事では、2025年最新版として、フロントエンド・バックエンド・フルスタックに対応するおすすめの単体テストフレームワークトップ5をご紹介します。それぞれの特徴や選定理由、用途別の選び方も解説しているので、ぜひ自分の開発スタイルに合ったフレームワークを見つけてください。

 2025年08月08日

【徹底解説】単体テストと結合テストの両方が必要な理由とは?

ソフトウェア開発において「テスト」は品質を守るための重要な工程ですが、「単体テストさえやっていれば十分」「結合テストだけでカバーできる」と考えていませんか?実際には、それぞれのテストには明確な役割と限界があり、片方だけでは不具合の見落としや品質低下を引き起こすリスクがあります。本記事では、単体テストと結合テストの基本をおさらいしながら、なぜ両方をバランス良く実施する必要があるのかを、実例やテスト戦略の観点からわかりやすく解説します。

 2025年08月07日

現場で使える!単体テスト・結合テストの実践チェックリスト|品質を守るための確認ポイント

ソフトウェア開発において、品質の要となるのが「テスト工程」です。中でも、複数のモジュールやシステム同士が正しく連携するかを検証する「結合テスト」は、リリース前のバグを未然に防ぐために欠かせない重要なフェーズです。しかし現場では、時間や工数の制約から確認漏れが発生しやすく、想定外の不具合につながるケースも少なくありません。そこで本記事では、テストの抜け漏れを防ぎ、品質を安定させるために、単体テストと結合テストそれぞれで現場で“本当に使える”チェックリストを詳しく解説します。開発者、テスト担当者、プロジェクトマネージャーの方にも役立つ実践的な内容となっていますので、ぜひ最後までご覧ください。

 2025年08月06日

なぜ単体テストが必要なのか?バグを未然に防ぐ開発手法とは

「単体テスト(ユニットテスト)って本当に必要なの?」 「テストを書く時間がないし、動いてるから問題ないでしょ?」 そんな疑問や思い込みを持っている開発者は、意外と多いのではないでしょうか。 しかし、単体テストはソフトウェア開発における“安全ネット”であり、プロジェクト全体の品質と生産性を左右する重要な存在です。 この記事では、単体テストの定義から、なぜ必要なのか、どのようにバグを未然に防げるのかまで、実践的かつ最新の視点で徹底解説します。

 2025年08月05日

テストケースとは?単体テスト・結合テストにおける良いテストケース設計の基本と実践ポイント

テスト自動化が進む現代において、単体テストや結合テストの成否を左右するのは「良いテストケース」です。数だけ増やせばよいわけではなく、無駄を省いて抜け漏れなく品質を保証できる設計が求められます。本記事では「テストケースとは何か?」から実際の設計手法、単体・結合テストでの注意点まで、わかりやすく解説します。

 2025年08月01日

単体テストと結合テストの違いとは?目的・特徴・使い分けを徹底解説

ソフトウェア開発におけるテスト工程は、システムの品質・安定性を担保する上で欠かせない要素です。なかでも「単体テスト(ユニットテスト)」と「結合テスト(インテグレーションテスト)」は、最も基本的でありながら、理解が不十分なまま導入されるケースも少なくありません。 「単体テストだけで十分では?」 「結合テストをどう設計すればいいのか分からない…」 そんな声に応えるべく、本記事では2つのテストの違いとその活用法を詳しく解説します。

 2025年07月31日

結合テストとは?仕組み・種類・手順・注意点を完全解説!

システム開発におけるテスト工程の中でも、「結合テスト(Integration Test)」は品質を左右する重要なステップです。どれほど単体で完璧に動くプログラムでも、複数のモジュールが連携したときに思わぬ不具合が起こることは少なくありません。たとえば、ユーザー登録機能が正常に動いていても、その後の通知処理やDB保存が失敗すれば、全体としては「使えない機能」と判断されてしまいます。本記事では、IT現場で頻繁に登場する結合テストについて、その定義・仕組み・種類・やり方・注意点をわかりやすく解説し、どのように効率よく、正確に結合テストを行うべきかを実務経験に基づいてご紹介します。

 2025年07月30日

単体テストとは?仕組み・種類・やり方・自動化まで徹底解説

ソフトウェア開発の現場において、品質を確保するために不可欠なのが「テスト」です。中でも、最も基本でありながら効果的なのが単体テスト(ユニットテスト)です。関数やメソッド単位で動作を検証するこの工程は、不具合の早期発見や保守性の向上に大きく貢献します。本記事では、単体テストの定義から仕組み、種類、具体的なやり方、自動化の方法、さらに注意点までもとに体系的に解説します。

 2025年07月30日

ITにおける設計書とは?重要性と開発成功のポイントを解説

システム開発において、「設計書」は単なる技術文書ではなく、プロジェクト全体の品質・効率・リスク管理を左右する極めて重要なドキュメントです。特に複数人・多職種が関わる現代の開発環境では、認識のズレを防ぎ、スムーズな実装・テスト・保守を実現するために、設計書の有無とその質がプロジェクトの成否を決定づけると言っても過言ではありません。本記事では、設計書とは何か?という基本から、種類・重要性・作成時のポイント、さらに現場で求められる実践的な運用法までをわかりやすく解説します。

 2025年07月28日

設計書とは?基本設計書・詳細設計書の書き方、現場で使えるテンプレート構成を徹底解説!【保存版】

システム開発において、「設計書」はただのドキュメントではなく、開発チーム全体をつなぐ“共通言語”として非常に重要な役割を果たします。要件を満たしたシステムを効率よく、かつ高品質に構築するためには、基本設計書と詳細設計書を正しく作成・活用することが不可欠です。しかし、現場では「どこまで書けばいいのか」「何を含めるべきか」に悩む声も少なくありません。本記事では、設計書の基本構成から具体的な書き方、各項目のポイントまでわかりやすく解説していきます。

 2025年07月25日

設定書とは?仕様書との違いと現場での使い分けを徹底解説

システム開発やインフラ構築の現場において、「設定書」はプロジェクトの再現性・安定稼働・保守性を支える不可欠なドキュメントです。しかし「仕様書との違いがよく分からない」「どうやって書けばいいか曖昧」と感じる方も少なくありません。本記事では、設定書の定義や目的を明確にし、仕様書との違いや使い分け方、実際の記載例、現場で活用されるベストプラクティスまで、現役エンジニア視点でわかりやすく解説します。これからドキュメント整備に取り組む方、品質向上を図りたいプロジェクトマネージャー、開発・運用双方の立場を理解したい方にとって、実践的で有益な内容となっています。