本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
最近、ランサムウェアをはじめとしたサイバー攻撃による被害が連日のように報告されている。その中でも特に顕著なのが、「業務委託先」で発生したセキュリティインシデントが非常に多い点だ。今回は、セキュリティの観点での業務委託先との向き合い方について考察してみたい。
続発する業務委託先でのセキュリティインシデント
給与計算や保険事務から生産や販売といったさまざまな領域において、外部業者への業務委託はごく一般的であり、企業活動の中では当然のものとして行われている。社内で専門性を持つ必要がない場合や、人件費をはじめとした固定費を抑えたい場合など、その背景にはさまざまなビジネス判断があるだろう。この外部委託という、ごく当たり前の企業活動の中で、近年サイバーリスクが特に浮き彫りになっている。
この数カ月で公表されているセキュリティインシデントを見ると、業務委託先での被害が続発し、被害内容では、従業員や顧客に関する個人情報が外部に漏えいしたというものから、ランサムウェアによってデータが暗号化されたりシステムに障害が発生したりすることで、委託した業務自体が滞るといったものまで深刻な事態が発生している。
発生原因では、ネットワーク機器の脆弱(ぜいじゃく)性のようなものがサイバー攻撃によって悪用されたものだけではなく、不注意か故意的かを問わず、委託先の従業員が情報を持ち出した内部不正から、業務上不要な情報であるにも関わらず設定ミスによって閲覧可能になっているという管理上の不備によるものまで、実に多岐にわたっている。
業務を外部に委託する以上、自社で運用するアプリケーションへのアクセスを外部に許容したり、自社のデータを外部業者の環境で取り扱わせたりすることになる。前者の場合、自社での適切なコントロールがなければデータの持ち出しなどが可能になる一方、後者の場合には自社のコントロールが及ばない、つまり委託先での対策にコントロールが委ねられることになる。言うなれば、自社にとっての第三者がデータやシステムに触れるという前提に立った対策が必要になる。
ビジネス要件と同等に求められるセキュリティ要件
業務委託先を選定する上では、当然ながら自社のビジネス要件をどれだけ満たすことができるかが最優先になるだろう。しかし、委託先で続発するサイバー攻撃や内部不正の実態からするに、サイバーセキュリティ観点での要件を同等レベルに引き上げて検討せざるを得ない段階に突入していると言える。
自社が要求するレベルのセキュリティがどのような水準なのか、また、その水準を確保するためにどのようなセキュリティの具体策、業務プロセスやルールが求められるのかを明確に提示した上で、その条件を受け入れることができる委託先を選定することが絶対になる。ここで妥協することは後々リスクにつながるだろう。
アプリケーションやデータにアクセスできる環境、ユーザー属性の条件はもちろん、データ種別による閲覧や編集のアクセス権限、データの取り扱い手順など、運用上求められる要件は明確かつ厳格に設定することだ。データの不正な持ち出しが後を絶たない実情を考えると、データや業務の重要性に応じて、業務を委託できる従業員自身の条件を明確にすることも検討すべきだろう。
国内でも自動車業界を中心にサプライチェーンへのセキュリティ要件が高くなっているが、先行する一部の欧米企業では、セキュリティ要件を満たせない企業とは取引をしないという明確なスタンスを示すケースが目立っている。つまり、セキュリティ要件がビジネス要件と同等レベルで重要な取引先の選定基準となっているのだ。自社のビジネスを守る上で当然の対応と言える。
自社と同等レベルかそれ以上のセキュリティレベルを確保することが困難であれば、仮にビジネス要件を満たしていたとしても、その委託先は採用するべきではない。もしそのような委託先を継続して活用しているのであれば、委託元としての責任を放棄しているのと同じだ。経営層から担当部門に至るまで、委託元としての外部委託に対する意識の変容も不可欠と言えるだろう。