• はじめに
• １．管理策の概要
• ２．具体的な実施例
  • ２．１．供給者との関係性を理解し、リスクアセスメントによりセキュリティ要件を明らかにする
    • １）情報の特定
    • ２）リスクアセスメント
      • ① 作成（Creat）
      • ② 保存（Store）
      • ③ 使用（Use）
      • ④ 共有（Share）
      • ⑤ アーカイブ（Archive）
      • ⑥ 破棄(Destroy)
      • ⑦ その他
  • ２．２．セキュリティ要件を満たすための管理策（リスク対応）の実施分担を当事者間で調整し、供給者に課す実施義務を明らかにする
  • ２．３．供給者により実施している管理策の適合性、有効性を適切に把握するため、セキュリティ監査などの権利を主張する（リスクモニタリングとレビュー）
    • １）組織による監査の実施
    • ２）第三者機関による監査
    • ３）供給者からの報告
    • ４）合意事項への違反
  • ２．４．両当事者において発生するセキュリティ事象などの情報が適切に共有されるようにリスクコミュニケーションを確立する
    • １）連絡手段
    • ２）インシデント管理のための要件とその手順
    • ３）変更管理
• まとめ
• 参考資料
• 脚注

はじめに

　情報セキュリティのための管理策の中で組織的対策として分類されている「供給者との合意における情報セキュリティの取扱い」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。

１．管理策の概要

　先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。

ISO/IEC 27002:2022 5.20 Addressing information security within supplier agreements から引用

Purpose：
To maintain an agreed level of information security in supplier relationships.
管理目的：
供給者との関係において、合意されたレベルの情報セキュリティを維持するため。

Control：
Relevant information security requirements should be established and agreed with each supplier based on the type of supplier relationship.
管理策：
関連する情報セキュリティ要件を確立し、供給者との関係の種別に基づき各供給者との間で合意することが望ましい。

※）英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

　前回の記事でも触れましたが、組織が供給者に対しセキュリティ要件などにより各セキュリティ管理策の実施を要請する場合、原則、両当事者による合意文書に基づくことで実施義務を課すことができます。本管理策では、その合意内容を明らかにすることが求められています。
　なお、本管理策は、上記のように管理策の実施義務を供給者に課すことを交渉可能なケースに適用される内容となります*1 。

　本稿では、供給者との合意事項に含めるべきセキュリティ要件他の内容を具体的に考えてみたいと思います。

２．具体的な実施例

　過去の記事でも述べていますが、供給者が関係するセキュリティにおいてもリスクマネジメントプロセスに基づくことで過不足なく適切に管理することができます。

blg8.hatenablog.com

　それと同じ考え方で、組織と供給者の間で合意すべき事柄*2を検討する際も、次のようにリスクマネジメントの各プロセスで実施すべき活動の実施責任を当事者間で明らかにすることでその漏れを防ぐことができます。

• 供給者との関係性を理解し、リスクアセスメントによりセキュリティ要件を明らかにする
• セキュリティ要件を満たすための管理策（リスク対応）の実施分担を当事者間で調整し、供給者に課す実施義務を明らかにする
• 供給者により実施している管理策の適合性、有効性を適切に把握するため、セキュリティ監査などの権利を主張する（リスクモニタリングとレビュー）
• 両当事者において発生するセキュリティ事象などの情報が適切に共有されるようにリスクコミュニケーションを確立する

　次項以降では、上記の各プロセスにおいて、供給者との合意事項に含めるべき内容を具体的に考えてみます。

２．１．供給者との関係性を理解し、リスクアセスメントによりセキュリティ要件を明らかにする

　供給者に求めるべきセキュリティ要件を明らかにするためには、その前段としてリスクアセスメントが必要になります。
　具体的には、下図に示すように組織と供給者が共有する情報及びその他関連する資産を明らかにし、その情報への供給者の関わり方とそこから想定されるリスクを特定する、すなわちリスクアセスメントすることで対応する管理策の実施責任を組織と供給者で調整することが可能になります。

　以下は、上図の各プロセスにおける実施内容と合意文書で明らかにすべき内容の例です。

１）情報の特定

　リスクアセスメントの精度向上*3、さらに、そこから得られる適切な管理策の実施のために、次の内容をリスト化するなどして合意文書の中で明らかにします。

• 供給者が取り扱う組織の情報及びその他関連する資産、並びにその提供方法；又は
• 組織が供給者から取得する情報及びその他関連する資産、並びにその取得方法

２）リスクアセスメント

　上記で特定した内容を基に、供給者が関係することにより想定されるリスクを特定します。
　ここでは、実施方法の一例として、情報のライフサイクル（作成、保存、使用、共有、アーカイブ、破棄）の各プロセスで供給者が関係するリスクとそのリスクを適切に管理するための各管理策を考えてみます。

① 作成（Creat）

　供給者が作成した成果物を組織が取得するケースでは、その成果物が信頼性や正確性に欠ける、あるいはマルウェアや悪意のあるコードが組み込まれている可能性がリスクとして考えられます。
　このようなケースにおける有効な管理策としては、信頼性と正確性を保証するための品質管理基準、供給者の要員のセキュリティ意識を高めるための教育やトレーニングの実施について合意文書により定めることが考えられます。

② 保存（Store）

　組織が提供した情報（データ）を供給者が管理するサーバーやデータベースなどに保存するケースでは、不適切な保護に起因する不正アクセス、情報の漏洩、情報の改変や改ざん、あるいはデータ喪失など、機密性、完全性、可用性が損なわれる可能性がリスクとして考えられます。
　このようなケースにおける有効な管理策としては、暗号化やアクセス制御によるデータ保護に関する基準、供給者の施設に対する物理的管理策の内容、DRサイトなどの代替施設に関する内容、バックアップ*4及びその復旧に関する基準などを合意文書により定めることが考えられます。

③ 使用（Use）

　業務プロセスの一部を外部委託するために組織の情報の使用を供給者に認可するケースでは、供給者による誤った取り扱いや悪用の可能性がリスクとして考えられます。
　このようなケースにおける有効な管理策としては、関連法令の遵守や情報の使用制限に関する方針、供給者によるアクセス制御や監視の要求、供給者の要員のセキュリティ意識を高めるための教育やトレーニングの実施について合意文書により定めることが考えられます。
　逆に、供給者から取得する情報及びその関連資産を組織が使用するケースでは、① 作成プロセスでも触れましたが、その取得物が信頼性や正確性に欠ける、あるいはマルウェアや悪意のあるコードが組み込まれている可能性があることを想定し、供給者に要件を提示することが必要になります。

④ 共有（Share）

　供給者との共同作業のために組織の情報を共有するケースでは、組織が認可する範囲*5を超えた共有の可能性がリスクとして考えられます。
　このようなケースにおける有効な管理策としては、第三者提供の禁止など情報の使用制限に関する方針、適切なセキュリティプロトコルやアクセス制御*6の利用について合意文書により定めることが考えられます。
　また、組織の管理下にある情報を共有する場合、データ損失防止（DLP）やデジタル著作権管理（IRM）などの技術的な管理策の対象範囲を供給者まで拡げることで効率的な管理ができる可能性があるため、その使用に関し合意が必要になるケースが考えられます。

　なお、供給者と情報を共有する際の合意では、共有する情報に求める保護ニーズが供給者に対し正確に伝わらないリスクについても考慮しなければなりません*7 。
　具体的には、セキュリティの3要件（機密性、完全性、可用性）に関し、組織と供給者との間で認識のズレが生じないように、合意プロセスにおいて情報の分類基準を当事者間で整合します。
　情報の分類については、過去の記事が参考になります。 blg8.hatenablog.com

　分類基準の整合は、次のような流れで行うのが一般的です。

• 組織が定めた分類基準と供給者のものとを比較する
• 比較結果に応じ調整を行う
• 結果を文書化し、当事者間で合意する

⑤ アーカイブ（Archive）

　供給者の保有設備において組織の情報を長期保管するケースでは、適切にアーカイブが保護されないことで機密性、完全性が損なわれ、結果的に法的要件を満たさない、あるいは、暗号の危殆化など刻々と変化する技術的な環境によって組織が示す要件を継続して満たすことができなくなる可能性がリスクとして考えられます。
　このようなケースにおける有効な管理策としては、アーカイブにおいても通常の保存環境と同等のセキュリティ要件を求める、あるいは、適切な管理とその有効性に関する評価方法について合意文書により定めることが考えられます。
　さらに、長期アーカイブの場合はベンダーロックインリスク*8 に対する考慮が必要です。合意事項においては、移植容易性、相互運用性などについても明らかにし、供給者に大きく依存しない運用体制の確保を検討します。

⑥ 破棄(Destroy)

　供給者の保有設備において組織の情報を保存するケースでは、不適切なデータ破棄により、組織が認可していない第三者による不正アクセスやデータ復元が発生する可能性がリスクとして考えられます。
　このようなケースにおける有効な管理策としては、適切な破棄方法とは何かを一般的なガイドラインや基準をベースに具体的に定め、その実施結果に対する組織への報告や組織による監査などについて合意文書により定めることが考えられます。

⑦ その他

　情報のライフサイクルの観点以外にも、契約終了時や再委託先の利用など供給者が関連するリスクが考えられます。

　供給者との関係が解消された後もセキュリティは維持しなければならないため、契約終了時に供給者により実施されるべき、次のような管理策を明らかにしておきます。

• アクセス権のプロビジョニング解除
• 資産の返却
• セキュリティに配慮した情報の処分
• 相互運用性と移植容易性の確保
• 「継続的な機密保持」など契約終了後も引き続き順守すべき内容*9

　さらに、供給者が提供する製品又はサービスを利用するケースでは、契約終了後も組織の業務を継続するために必要な引継支援の内容（例えば、計画・手順の策定、各種ドキュメントや情報の提供、教育や訓練、セキュリティに配慮したデータの移行、各種調整など）を明らかにし、供給者に対し実施義務を課すことを検討します。

　サプライチェーン上の透明性*10とガバナンス*11を確保し、再委託先に範囲を拡げた場合でも組織のセキュリティ要件が確実に満たされるように、次の考慮事項を含め、合意事項において再委託先管理の内容を明らかにしておきます。

• 再委託先の選定に対する適切性の確認方法
• 実施責任などの合意内容に対する充足性の確認方法
• リストの提出など、組織が再委託先を特定する方法
• 事前通知などの再委託先の変更管理に関する手続き方法
• 組織が求めるセキュリティ要件を満たすための各管理策の実装を要求する方法
• 管理策の実施状況及び有効性の確認方法
• アクセス制御や認証に係る個別方針や手順などの遵守義務の伝達方法
• 組織の情報が関連するシステムやデータへのアクセス認可の方法
• 再委託先でインシデントが発生した場合の報告ルートなど、情報セキュリティに関するリスクコミュニケーションの実施内容

２．２．セキュリティ要件を満たすための管理策（リスク対応）の実施分担を当事者間で調整し、供給者に課す実施義務を明らかにする

　前項のプロセスで明らかにしたセキュリティ要件を満たすための各管理策の実施分担を当事者間で調整し、結果を合意文書により明らかにします。管理策の実施内容は可能な限り定量的で具体的なものにしておくことでより適切にセキュリティリスクを管理することができます。
　具体的な管理策については、前項で事例をあげているため、ここでの説明は省きます。

２．３．供給者により実施している管理策の適合性、有効性を適切に把握するため、セキュリティ監査などの権利を主張する（リスクモニタリングとレビュー）

　供給者に実施義務を課した各管理策が、組織の意図通りに実施されていることを確認します。確認方法としては、次のような方法を用いることが一般的です。

１）組織による監査の実施

　供給者に実施義務があるセキュリティ要件の順守状況を確認するため、組織による監査*12の実施権限に関し、次の項目を考慮し合意文書に含めることを検討します。

２）第三者機関による監査

　例えば、供給者が提供するサービスがSaaSの場合、組織が直接監査することは現実的ではありません。そのようなケースにおいては、信頼性の高い監査機関による認証*13や第三者機関による監査結果の報告*14を以て、組織による監査に替えることがあります。

３）供給者からの報告

　供給者が自ら実施するセキュリティ管理策の有効性に関する確認結果*15を定期的に報告することを求めます。報告頻度は、取り扱う情報の量や重要度、リスクアセスメント結果、契約期間などにより両当事者により調整されます。

４）合意事項への違反

　供給者によるセキュリティ要件の順守状況を確認した結果、合意事項への違反が判明した場合の補償及び改善内容を事前に明らかにしておきます。改善が期待できない場合も考慮し、契約の解除も選択肢として検討する必要があります。
　合意事項への違反などの問題が判明した場合に円滑に解決するためのプロセスには、次のようなものが含まれます。

• 問題点を特定し、相手に通知する方法
• 問題点について協議するための方法
• 問題点の解決のための具体的な措置を決定し、実施するための方法
• 紛争が発生した場合に、当事者間で協議する方法
• 協議によって紛争が解決しなかった場合に、第三者の仲裁や裁判所への訴訟提起についての方法
• 仲裁や訴訟提起に関する手続きや費用についての合意方法

２．４．両当事者において発生するセキュリティ事象などの情報が適切に共有されるようにリスクコミュニケーションを確立する

１）連絡手段

　効果的なコミュニケーションのためには、連絡の内容に対し事前に窓口を特定しておく必要があります。例えば、セキュリティインシデントが発生した場合に迅速かつ適切に対応するために、次のように両当事者の対応窓口を特定し、合意文書やSLAなどに明記し、変更があれば更新します。

• セキュリティに関する問題やインシデントに対する組織の対応窓口となる担当者の氏名、所属部署、連絡先（電話番号、メールアドレスなど）
• 供給者のセキュリティ担当者の氏名、所属部署、連絡先

２）インシデント管理のための要件とその手順

　セキュリティインシデントを管理するための要件とその手順を明らかにします。具体的には、次の内容を含むインシデント管理要件を供給者に求めることを検討します。

３）変更管理

　供給者に対し、組織と合意した内容に関し変更が発生する場合に通知、及び組織による承認が変更実施前に行われることなど変更管理プロセスに関し合意を得ることで、セキュリティに影響を及ぼす各種変更に対するリスクを適切に管理します。

まとめ

　冒頭でも述べた通り、組織が供給者に対しセキュリティ要件などにより各セキュリティ管理策の実施を要請する場合、原則、両当事者による合意文書に基づくことで実施義務を課すことができます。そのため、本管理策では、その合意内容を明らかにすることが求められています。
　本稿では、リスクマネジメントプロセスに基づき、リスクアセスメントによる管理策の検討、リスク対応に対する責任共有、モニタリング及びレビューによるセキュリティ管理策の適合性及び有効性の確認、供給者とのリスクコミュニケーションなど、効果的かつ効率的にセキュリティリスクを管理するために合意事項に含めるべき内容を考えました。
　なお、セキュリティリスクは刻々と変化するため、一般的なリスクマネジメントで行われているような組織の状況の変化に応じリスクアセスメントを実施し、その結果としてリスク対応内容を見直すのと同じように、供給者との合意内容を見直す必要があります。そうすることでリスクの変化に対し、的確に追従することができます。

参考資料

• ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
• ISO/IEC 27036-2:2022 Cybersecurity — Supplier relationships — Part 2: Requirements
• NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations
  AU-16, SA-4, SA-9, SA-11, SR-2, SR-3, SR-7, SR-8, SR-10, SR-11, SR-12
• ISO/IEC 19086-1:2016 Information technology — Cloud computing — Service level agreement (SLA) framework — Part 1: Overview and concepts

脚注