クラウドサービスの委託先管理、あなたは大丈夫？セキュリティ評価プラットフォーム「Assured」が明らかにする上半期サプライチェーン管理の実態

クラウドサービス利用におけるサプライチェーン管理の課題：セキュリティ評価プラットフォーム「Assured」が明らかに

2024年上半期、セキュリティ評価プラットフォーム「Assured」が実施した調査によると、クラウドサービス事業者のサプライチェーン管理において課題が見られることが判明しました。

委託先管理の現状：セキュリティ対策や情報削除の合意不足

調査対象となった878件のクラウドサービスのうち、約6割がシステム開発や保守・運用業務を外部委託していました。しかし、そのうち約2割は、委託先との間でセキュリティ対策や情報の削除に関する明示的な合意が不足していることが明らかになりました。

これは、委託先がベストエフォートでセキュリティ対策を実施することになり、クラウドサービス事業者自体のセキュリティ対策が万全であっても、外部委託先経由で情報漏えいやサービス停止などのインシデントが発生するリスクが高まることを意味します。

海外委託先における再委託先管理の課題

さらに、海外事業者への外部委託についても問題点が浮き彫りになりました。個人情報を海外委託しているクラウドサービスの3分の1は、再委託先の監督や各措置の実施を合意していませんでした。

つまり、委託先の海外事業者がさらに別の第三者に委託する場合、その委託先（再委託先）の管理が不透明で、誰がどこでどのように個人情報を取り扱っているのか把握できない状況が発生する可能性があります。これは、セキュリティリスクの増大につながる深刻な問題です。

クラウドサービス利用における「サプライチェーン」意識の重要性

これらの調査結果から、クラウドサービスを利用する企業は、サービス本体のセキュリティ対策だけでなく、委託先を含めたサプライチェーン全体の管理状況を確認することが重要であることがわかります。

具体的には、以下のような点に注意する必要があります。

クラウドサービス事業者が委託先との間で、セキュリティ対策や情報削除に関する明示的な合意を結んでいるかを確認する。
海外委託先の再委託先も含めた、サプライチェーン全体の管理体制が適切であることを確認する。
自社の情報資産の機密性や重要度を考慮し、情報漏えいや改ざんが発生した場合のビジネス影響を評価する。

Assuredによるセキュリティ評価と社会全体のDX推進

Assuredは、クラウドサービス利用時のセキュリティ脅威から身を守り、安心・安全なクラウド活用、そして社会全体のDX推進を支えることを目指しています。

今後、Assuredは、クラウドサービス事業者に対して、サプライチェーン管理に関する意識向上と対策強化を促し、より安全なクラウド環境の実現に貢献していく予定です。

クラウドセキュリティ：サプライチェーン管理の重要性を再認識

今回の調査結果は、クラウドサービス利用におけるサプライチェーン管理の重要性を改めて示すものであり、衝撃的です。特に、委託先とのセキュリティ対策や情報削除に関する合意の不足、海外委託先における再委託先の監督体制の欠如は、深刻なセキュリティリスクを生み出す可能性を秘めています。

クラウドサービスは、利便性やコスト削減といったメリットがある一方、セキュリティ対策を適切に行わなければ、企業にとって大きな損害となる可能性も孕んでいます。今回の調査結果を踏まえ、企業はクラウドサービス利用におけるセキュリティリスクを改めて認識し、適切な対策を講じる必要があります。

具体的には、以下のような対策が考えられます。

クラウドサービス選定時のセキュリティ対策に関する調査・確認の徹底: 契約前に、セキュリティ対策に関する詳細な情報を入手し、委託先の管理体制やセキュリティ対策レベルを評価する必要があります。
情報資産の分類とリスク評価: 自社の情報資産を分類し、重要度や機密性を評価することで、情報漏えいなどのリスクを把握することができます。
セキュリティ対策の継続的な見直し: 常に最新の脅威情報などを収集し、自社のセキュリティ対策が最新の状況に対応しているかどうか見直す必要があります。
* 従業員のセキュリティ意識向上: 従業員に対して、セキュリティ対策に関する教育や研修を実施し、セキュリティ意識を高めることが重要です。

クラウドサービスは、企業のビジネスにとって欠かせないツールになりつつあります。しかし、セキュリティ対策を軽視することは、企業にとって大きなリスクとなります。今回の調査結果を教訓とし、企業は適切なセキュリティ対策を講じることで、安全なクラウド環境を実現し、ビジネスの成長を促進していく必要があります。