今週のSecurity Check(第186回)
相変わらず,個人情報の漏えい事件が後を絶たない。最近の国内のニュースでは,「大日本印刷の業務委託先の電算処理室勤務元社員,クレジットカード番号などの個人情報を863万件持ち出し」の事件が記憶に新しい。個人情報保護法の施行以来の最大規模のセキュリティ事件で,業務の外部委託時のセキュリティ対策についての重要な問題提起となった。
そもそも個人情報保護法では,外部委託先の監督責任を問われることになっているが,それが委託元企業に与える影響は無視できない(参考:「個人情報漏えい事件を斬る(83) 情報誤廃棄でKDDIに発動された総務省勧告」)そこで今回は,「企業IT統制における外部委託先の管理の重要性」に注目してみる。
想定リスクは十分か
重要情報を扱う企業が,想定されるリスクに対してセキュリティ管理策を検討・実装しているにも関わらず,このような事件が発生するのは一体なぜなのかと疑問を感じるところである。それには大きく二つの原因が考えられる。
原因(1) セキュリティ対策の運用管理の不徹底
原因(2) リスク分析における想定リスクが不十分
原因(1)に対する改善策は,「モニタリング(監視活動)」の実現である(「今週のSecurity Check」第184回を参照)。実装されたセキュリティ対策を実行し,見直すために定期的な監視活動が重要である。原因(2)については,リスク分析において「想定外リスク」を残さないように,保護すべき情報資産の環境・資源・状況に応じたリスクを網羅的に想定することしかない。この際に重要になってくるのが,今回のテーマである「外部委託先の管理」だ。外部委託先管理の問題は委託先を有する多くの企業において生じており, IT企業統制においても重要な統制目標として挙げられている。
2007年3月31日,経済産業省が「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」を公開した。この追補版は,内部統制と情報セキュリティの関係を明確にすること目的として,汎用的な情報セキュリティ・ガイドラインである「システム管理基準」を補うように策定された。「第!)章 IT統制の導入ガイダンス(IT統制の例示)」には,システム管理基準とIT統制との関係が具体的に書かれていて,外部委託先の管理に関しても, (1)外部委託先との契約,(2)外部委託先とのサービスレベルの定義と管理,という2項目が含まれている。
(1)外部委託先との契約
外部委託先の管理の対象は,財務報告に係るITの運用及び財務情報作成等を目的とした外部委託業者である。その統制目標は企業の実現すべきセキュリティ対策に広く共通する内容を含むものである。統制目標の例を以下に挙げる(システム管理基準 追補版(財務報告に係るIT統制ガイダンス)から抜粋)。
企業において特に重要視する統制目標としては,委託先選定後の「委託業務の実施状況を把握し,適宜,確認すること」になるだろう。統制目標が確実に実現できているかを評価するためには「モニタリング(監視)」は重要となる。企業は,監視方法をより具体化して,手順化(手順書作成・周知・徹底・評価及び見直し含む)することが推奨される。
(2)外部委託先とのサービスレベルの定義と管理
外部委託業務のサービスレベルの定義と管理のプロセスは,委託元企業の期待及び要求に応えることが重要であり,提供サービスが確実に提供されるための委託業者の役割及び責任を規定することである。統制目標の例を以下に挙げる(システム管理基準 追補版(財務報告に係るIT統制ガイダンス)から抜粋)。 委託先とのサービス・レベル契約を締結するためには,ITサービス・マネジメントの国際規格である「ISO/IEC20000:2005 情報技術-サービスマネジメント」が参考となる。
| 統制目標の項目 | 統制目標の内容 |
|---|---|
| a.委託計画 | (財務報告に直接係る)ITを外部委託するとき,その委託計画が承認されていること |
| 委託業務の目的,範囲,予算,体制等が明確になっていること | |
| b.委託先の選定 | ITを外部委託するとき,組織の委託業者選定方針にしたがって業者選定していること |
| 候補業者の業務提供能力の評価と財務上の適格性を判断していること | |
| c.契約 | 契約書には,委託業務に関する主要なリスクに対する統制方法を明記していること |
| d.財務報告に係るITを外部委託するときの,委託業務の実施 | 業務内容及び責任分担を明確にすること |
| 委託業務の実施状況を把握し,適宜,確認すること | |
| 成果物の検収は,委託契約に基づいて行うこと | |
| 財務情報に係る信頼性について,サービスレベルをモニタリングして(例えば,委託業務の結果サンプリング等で検証して),問題があれば,責任者に報告すること |
■統制の例 (システム管理基準 追補版(財務報告に係るIT統制ガイダンス)より抜粋)
| 統制目標の項目 | リスク | 統制活動 | 統制評価手続 | a.委託計画 | ・外部委託先とのサービスレベルの契約がセキュリティ統制について触れていないと,サービスレベルが維持できなくなり,適切に財務情報が作成されなくなる | ・業務の外部委託前に,外部委託業者との契約について,社内で承認され,契約書が交わされるための手続があり,これに従っている。この手続には,内部統制の要件定義と外部委託先の受諾条件が含まれる |
契約書のサンプルを検討し、以下の点を確認する ・実施しているサービスが明示されていること ・外部委託業者が,セキュリティに関する方針と手続等,委託企業の方針及び手続に準拠することを承諾していること ・契約に際して,適切に当事者が契約内容をチェックし,承認して,署名していること ・契約に述べられた委託業務の統制項目は,企業が求めているものと一致していること |
|---|---|---|---|
| b.委託先の選定 | 業者選定及び業者管理手続が不十分の場合,サービスレベルを維持できなくなること | 企業の委託業者選定手続に沿って外部委託業者を選定すること | 企業の業者管理手続を入手し,外部委託業者の選定及び管理が手続きに沿って実施されているか確認すること |
| 統制目標の項目 | 統制目標の内容 |
|---|---|
| a.サービスレベル | 財務報告・財務情報に係る情報システムを外部に委託する場合,サービスレベルを定義し,そのレベルを維持する。そのために,委託先企業とサービスレベル契約(SLA)を結ぶことが望ましい。 |
■統制の例 (システム管理基準 追補版(財務報告に係るIT統制ガイダンス)より抜粋)
| 統制目標の項目 | リスク | 統制活動 | 統制評価手続 |
| a.サービスレベル | サービスレベルが維持されていることを管理しないと,サービスレベルが低下すること | SLAを管理するための性能指標を確立すること | ・サービスレベルを実際に評価したときの報告書を入手し,主要な性能指標が含まれていること ・実際に測定されていることを確かめること |
| 【修正履歴】当初,「統制の例」の表にある「a.委託計画」の内容が出典元の「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」の記載内容と違うものになっていましたので,修正しました(2007年4月15日) |
【参考情報】 ITサービスマネジメントは,ベンダー任せではいけない!(ISO/IEC20000に学ぶ) http://itpro.nikkeibp.co.jp/article/Watcher/20060912/247829/
| ITpro Securityが提供する「今週のSecurity Check」は,セキュリティに関する技術コラムです。セキュリティ・ベンダーである「インターネット セキュリティ システムズ株式会社」のスタッフの方々を執筆陣に迎え,同社のセキュリティ・オペレーション・センター(SOC)で観測した攻撃の傾向や,セキュリティ・コンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より) |
