📌 結論から理解する
委託先のセキュリティは「発注側の責任」
業務を外部委託(アウトソーシング)するとき、情報の取り扱いを委託先に任せても、責任は発注側が持ちます。
委託先からの情報漏えいは「自社の情報漏えい」と同じです。
SG試験の午後問題でも「委託先管理」は頻出テーマ。契約・確認・監督の3点が重要。
委託先管理の3ステップ
1
委託前:選定と契約
- 委託先のセキュリティレベルを事前に評価
- 契約書にセキュリティ要件を明記
- 秘密保持契約(NDA)の締結
- 再委託(再々委託)の条件を明確にする
2
委託中:監督・確認
- 定期的な報告を求める
- セキュリティ監査・立入検査
- インシデント発生時の報告義務を課す
- 個人情報の取扱状況を確認
3
委託終了時:情報の返却・廃棄
- 提供した情報・データの返却または確実な廃棄
- 廃棄証明書の取得
- アクセス権の取り消し
サプライチェーンリスク
サプライチェーンリスク=委託先・取引先経由で自組織に攻撃や情報漏えいが波及するリスク。
🏭 部品メーカー
(セキュリティ弱)
(セキュリティ弱)
→ 侵入 →
🏢 発注元企業
(本来の標的)
(本来の標的)
事例:ソフトウェアの開発委託先が改ざんされ、完成品にマルウェアが混入(ソフトウェアサプライチェーン攻撃)
サプライチェーン攻撃の全体像
標的企業に直接攻撃せず、弱いリンクを踏み台にする
😈 攻撃者
→ 侵入
🏭 ソフトウェア
開発委託先
開発委託先
(セキュリティ弱)
↓ 開発ソフトにマルウェアを混入
📦 汚染された
ソフトウェア
ソフトウェア
→ 納品
🏢 本来の標的
(発注元企業)
(発注元企業)
感染に気づかない
↓ マルウェアが社内で活動開始
💥 情報漏えい・ランサムウェア・バックドア設置
✅ サプライチェーン攻撃への対策
- 委託先のセキュリティ評価(事前審査・定期監査)
- 納品物のハッシュ値検証(改ざん確認)
- ソフトウェアの署名確認(正規配布元か)
- 委託先への同等セキュリティ要件の適用
- 再委託先の承認制(無断再委託の禁止)
実例:大手企業のシステム更新ソフトが改ざんされ、数万社に一斉配布される事件(SolarWinds等)が発生しています。
秘密保持契約(NDA)のポイント
- 委託する情報の種類・範囲を明記
- 情報の目的外使用禁止
- 契約終了後の情報の扱い(返却・廃棄)
- 違反した場合の損害賠償
- 再委託の制限・承認制
「再委託先にも同等のセキュリティ要件を課す」という規定が重要。再委託を無断でやっていないか確認。
個人情報保護法との関係
個人情報を含む業務を委託する場合、委託元は委託先を監督する義務があります(個人情報保護法第25条)。
委託先での漏えいでも、委託元が適切な監督を怠っていれば法的責任を問われる可能性があります。
🧠 確認クイズ
Q1. 委託先からの個人情報漏えいに関する説明として正しいのは?
Q2. 委託終了時に特に重要な対応は?
Q3. サプライチェーン攻撃の説明として正しいのは?