Shutterstock.com

サイバー攻撃による被害が後を絶たない中で、この1カ月だけでも関通、倉業サービス、東京損保鑑定、高野総合コンサルティング、ヒロケイなど、さまざまな企業で発生したサイバー攻撃被害が連日のように報告されている。いずれの発表においても共通しているのが、「業務委託先」というキーワードだ。つまり、業務を委託した先でセキュリティインシデントが発生しているということだ。 これらのインシデントでは、出荷業務に遅延が発生するといった形で請け負った業務自体の継続に支障が生じたり、保険業務など請け負った業務で必要な委託元から託された従業員の個人情報などが漏洩した可能性が生じている。その中には、ランサムウェアによってデータが暗号化されていたケースもある。また、複数の委託元企業から被害が発表されているケースもある。 ■サイバーセキュリティにおける「業務を外部への委託」の意味 専門性や人材の不足、コスト合理化といった理由で、国内ではさまざまな領域で業務の外部委託が一般的に行われている。業務委託自体は企業各社の方針であり、メリット・デメリットがある。 「業務を外部に委託する」ということは、自社のデータに対して外部業者によるアクセスを許容したり、逆に外部業者の環境での業務やシステム、データの取り扱いを許容したりすることを意味している。つまり、自社の物理的な管理統制が及ばないところで業務自体やその中で必要となるデータの取り扱いが行われることを意味している。 最終的に業務を外部に委託するのか否かに関わらず、事業方針を検討する上では災害発生時の事業継続性やビジネスリスクは常に念頭に置く必要がある。その中でも近年重要になっているリスクがサイバーセキュリティだ。外部業者に業務を委託するのであれば、サイバーセキュリティの観点で考えるべきポイントがいくつかある。 ■委託先業者は大丈夫か？ 1つ目は業者選定だ。自社と同等またはそれ以上のセキュリティレベルを確保することが可能なのかどうかは、業者選定において妥協してはならないポイントの1つになる。自社のサイバーセキュリティに対する意識が低いとなれば問題だが、自社が要求するレベルのセキュリティの確保、具体策の実行が委託先業者で可能なのかどうかも吟味すべきだ。 委託元が大企業で、委託先が中小企業となる場合、委託先が包括的な対策を自前で行うのは体力的に無理があるだろう。セキュリティ業務の外部委託を活用する形でも、自社が求めるセキュリティレベルの確保が委託先で可能か、委託元として判断する必要がある。 近年では、自動車業界を中心にサプライチェーンに求めるセキュリティ要件が高くなっているが、欧米の大手企業と取引のある製造業では「要求を満たせなければ取引をしない」と宣言されているケースが目立っている。ガイドラインの公開が行われるなど、サプライチェーンのセキュリティに対する温度感は世界的にも高まっている。