LASSIC Media らしくメディア
委託先・サプライチェーンのセキュリティ管理
LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託
この記事のポイント
- サプライチェーンのセキュリティは自社対策だけでは完結せず、委託先管理は経営が主導すべき課題になっています。
- 経済産業省のサイバーセキュリティ経営ガイドラインやSCS評価制度など、委託先管理を求める政策動向が進んでいます。
- 重要委託先の棚卸しから契約反映・定期点検まで、段階を踏んだ進め方が実務では欠かせません。
目次
委託先管理が経営課題である理由 — 自社対策だけでは守れない
サプライチェーンセキュリティにおける委託先管理とは、自社が業務を委託する取引先のセキュリティ対策状況を経営として把握し、必要な水準を確保する取り組みを指します。経済産業省と内閣官房国家サイバー統括室は、委託先を含むサプライチェーン全体の対策水準を底上げする制度検討を進めており、企業規模を問わず対応が求められる領域になりつつあります*1。
自社の情報システムをどれだけ強固に守っても、業務委託先のセキュリティ対策が不十分であれば、そこを経由した侵入や情報漏えいを防げません。委託先は取引情報や個人情報にアクセスできる立場にあることが多く、攻撃者にとって狙いやすい標的になりやすいためです。
取引先からセキュリティ対策の状況を尋ねられる場面も増えています。大企業を中心に、委託先選定や契約更新の条件としてセキュリティ対策の実施状況を確認する動きが広がっており、対策が不十分な企業は取引そのものを見直される可能性があるでしょう。
供給網全体で見ると、特定の委託先がサイバー攻撃を受けて事業を停止すると、発注元企業の生産や納品にも影響が及びます。委託先管理は「自社を守るため」だけでなく「取引を継続するため」の経営課題として位置づける必要があるのではないでしょうか。
委託先経由の侵入・情報漏えい・供給停止 — 想定される3つのリスク
委託先管理を怠った場合に想定されるリスクは、侵入経路化・情報漏えい・供給停止の3つに整理できます。いずれも自社の対策だけでは防ぎきれない点が共通しています。
侵入経路化 — 委託先のネットワークを経由した攻撃
委託先のネットワークやシステムに脆弱性があると、そこを踏み台にして発注元企業の内部システムへ侵入される事態が想定されます。委託先とVPN(仮想プライベートネットワーク。拠点間を暗号化して接続する仕組み)や専用線で接続している場合、境界の防御が甘い側から攻撃を受けるリスクが高まるでしょう。
情報漏えい — 委託先が保有する取引情報・個人情報の流出
業務委託では、契約内容・顧客リスト・仕様書といった機密情報を委託先に共有することが一般的です。委託先の管理体制が不十分であれば、これらの情報が外部に流出し、発注元企業の信用問題に発展しかねません。情報漏えいが発生すると、原因究明や関係者への説明対応にも相応の時間と労力を要すると考えられます。
供給停止 — 委託先の事業停止による納品遅延
委託先がランサムウェア(データを暗号化し身代金を要求する不正プログラム)の被害を受けてシステムが停止すると、発注元企業への納品や役務提供そのものが止まる可能性があります。代替の委託先をすぐに確保できない場合、事業計画全体への影響も避けられないでしょう。
委託先管理の実務 — 選定基準・契約・実施状況確認
委託先管理を実務に落とし込む際は、選定基準の設定・契約への反映・実施状況の確認・インシデント発生時の連携体制という4つの要素を押さえる必要があります。
選定基準 — セキュリティ対策を委託先評価の項目に加える
委託先を新規に選定する段階で、価格や納期だけでなくセキュリティ対策の実施状況を評価項目に加えることが出発点になります。情報セキュリティマネジメントシステム(ISMS)の認証取得状況や、過去のインシデント対応実績を確認する企業も見られます。
契約 — SLA・秘密保持・監査権を条項に落とし込む
契約段階では、SLA(サービスレベル合意。委託先が満たすべき品質水準の合意)に情報セキュリティ対策の水準を明記し、秘密保持義務と合わせて監査権(発注元が委託先の対策状況を確認できる権利)を条項化することが求められます。監査権がなければ、契約後に委託先の実態を確認する手段が乏しくなってしまいます。
実施状況の確認 — 自己点検と第三者評価を組み合わせる
契約締結後は、委託先による自己点検の報告を定期的に受け取る仕組みを設けます。重要度の高い委託先については、第三者機関による評価や監査を組み合わせることで、自己申告だけに頼らない確認が可能になります。
インシデント連携 — 発生時の報告ルートを事前に取り決める
委託先でセキュリティインシデントが発生した際、発注元企業への報告時期や連絡窓口をあらかじめ契約や運用ルールで定めておく必要があります。報告が遅れると被害範囲の特定や対外説明が後手に回り、事業への影響が拡大するおそれがあるでしょう。
サイバーセキュリティ経営ガイドラインとSCS評価制度の動向
委託先管理は個社の判断に委ねられてきた領域ですが、近年は政策面でも枠組みづくりが進んでいます。経営者が押さえておくべき動向は、サイバーセキュリティ経営ガイドラインとSCS評価制度の2つに整理できます。
サイバーセキュリティ経営ガイドライン — 委託先管理を経営の責務に位置づけ
経済産業省とIPA(情報処理推進機構)が策定するサイバーセキュリティ経営ガイドラインは、経営者が認識すべき原則と、CISO(情報セキュリティを統括する担当役員)など担当幹部に指示すべき重要項目を示す指針です*2。同ガイドラインでは、ビジネスパートナーや委託先を含めたサプライチェーン全体の状況把握を経営者が指示すべき項目の一つとして位置づけています*2。委託すべき範囲を明確にした上で管理する考え方や、ITサービスの委託先に対するセキュリティ対策を契約と第三者検証で担保する考え方も示されており、本稿で述べた契約・監査の実務と方向性が一致しています*2。
SCS評価制度 — 委託先に必要な対策段階を★で示す枠組み
経済産業省と内閣官房国家サイバー統括室は、2026年3月に「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」を公表しました*1。SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)と呼ばれるこの枠組みは、委託元企業が委託先に求めるセキュリティ対策の水準を★の段階で示し、実施状況を確認できるようにすることを狙いとしています*1。
IPAが公開する制度の詳細情報によれば、★3はすべてのサプライチェーン企業が実装すべき基礎的な対策として26項目、★4は★3の水準に加えて組織的なガバナンスや委託先管理まで含む43項目が設定される見込みです*3。より高い水準の★5については今後検討を進める段階とされています*3。運用開始は2026年度末ごろが目標とされていますが、評価項目や運用の詳細は今後変更される可能性があるため、最新の公式情報を確認する必要があります*1*3。
この制度は委託元企業が委託先を評価する際の共通のものさしとして機能することが期待されています。委託先ごとに異なる要求を出し合う非効率を解消し、必要な対策水準を客観的に確認できる仕組みへとつながる可能性があるでしょう。
委託先管理を進める4つの段階
委託先管理を一度に完璧な形で整備するのは難しく、重要委託先の棚卸しから始め、段階を踏んで水準を高めていく進め方が現実的です。
段階1:重要委託先の棚卸し
まず、自社の事業にどの委託先がどの程度の影響を与えるかを洗い出します。個人情報や機密情報へのアクセス権限の有無、代替が難しい業務かどうかという観点で優先順位を付けると、限られたリソースを重要度の高い委託先から充てられます。
段階2:要求水準の設定
棚卸しの結果をもとに、委託先ごとに求めるセキュリティ対策の水準を定めます。SCS評価制度の★の考え方のように、委託先の重要度に応じて段階的な要求水準を設けると、委託先側も対応計画を立てやすくなるはずです*1。
段階3:契約への反映
設定した要求水準を、新規契約だけでなく既存契約の更新時にも反映させます。既存の委託先すべてと一斉に契約を見直すのは負荷が大きいため、重要度の高い委託先から優先して条項を更新する進め方が現実的でしょう。
段階4:定期点検
契約に反映した後も、年に1回程度を目安に実施状況を確認する定期点検の仕組みを設けます。委託先の体制やシステム構成は時間の経過とともに変化するため、契約時点の確認だけで終わらせず、継続的な点検につなげる必要があります。
外部の診断・監査支援を活用する視点
委託先管理を内製だけで完結させるには、セキュリティ診断・契約条項の設計・監査の実施という異なる専門性を同時に確保しなければなりません。情報システム部門の担当者がこれらすべてを兼務するのは、通常業務と並行する形になり負荷が大きくなりがちです。
内製で対応する場合、脆弱性診断のツール選定や結果の読み解き、契約書へのセキュリティ条項の落とし込み、委託先への監査実施という一連の業務に、専門知識を持つ人材を継続的に配置する体制が求められます。体制を新たに構築するには、採用や育成に一定の期間を要すると考えられます。
外部の専門パートナーに診断・監査支援を委託した場合、自社で体制を一から構築するのに比べて、既存のノウハウやチェック項目を活用できる点が違いになります。委託先の実施状況確認やインシデント対応訓練の設計についても、他社での支援実績を踏まえた助言を受けられる可能性があるでしょう。
LASSICのようにシステムの受託開発・運用保守を担う事業者では、委託先としての立場でセキュリティ対策の実施状況を確認される機会も多く、対策状況の可視化や報告体制の整備に関する知見を蓄積しやすい面があります。委託先管理の体制構築を検討する際は、診断や監査の実務を担える外部パートナーの活用も選択肢に入れておくとよいのではないでしょうか。
まとめ:委託先・サプライチェーンセキュリティ管理の3つの判断軸
本稿では、サプライチェーンにおける委託先セキュリティ管理を経営視点で整理しました。要点を3つに集約すると次の通りです。第一に、委託先経由の侵入・情報漏えい・供給停止は自社対策だけでは防げず、委託先管理を経営課題として扱う必要があります。第二に、サイバーセキュリティ経営ガイドラインやSCS評価制度など、委託先を含む対策水準を求める政策動向が進んでいます。第三に、重要委託先の棚卸しから要求水準の設定・契約反映・定期点検まで、段階を踏んだ進め方が実務上の現実解になります。
よくある質問
委託先管理は中小企業でも必要ですか。
企業規模に関わらず必要だと考えられます。SCS評価制度は委託元・委託先の双方に関わる枠組みとして検討されており、大企業から業務を受託する中小企業側も対策状況を確認される場面が増えていく可能性があります*1。自社が委託元・委託先のどちらの立場にあるかを踏まえて準備を進めることが望ましいでしょう。
SCS評価制度はいつから始まりますか。
2026年3月に制度構築方針が公表され、2026年度末ごろの運用開始が目標とされています*1。ただし制度の詳細は現在も検討が続いており、評価項目や開始時期は今後変更される可能性があります。最新の公式情報を経済産業省・IPAのサイトで確認することをおすすめします*1*3。
既存の委託先との契約はすぐに見直す必要がありますか。
すべての契約を一斉に見直す必要はありません。まずは自社の事業への影響度が大きい重要委託先を棚卸しし、優先順位の高いところから契約条項の見直しに着手する進め方が現実的です。個別の契約対応については専門家に確認しながら進めることをおすすめします。
委託先のセキュリティ対策状況はどのように確認すればよいですか。
委託先による自己点検の報告を定期的に受け取る方法と、第三者機関による評価・監査を組み合わせる方法があります。重要度の高い委託先ほど、自己申告だけに頼らない確認の仕組みを設けることが望ましいと考えられます。
委託先管理の体制構築を外部に依頼することはできますか。
診断・監査支援を専門とする事業者に依頼することが可能です。セキュリティ診断・契約条項の設計・監査実施という複数の専門性を自社だけで揃えるのが難しい場合、外部パートナーの知見を活用する選択肢があります。
著者:テレリモ総研編集部 鈴木 亮佑
ご不明な点はお問い合わせフォームからもご連絡いただけます。
- *1 出典:経済産業省・内閣官房国家サイバー統括室「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(2026年)https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
- *2 出典:経済産業省・IPA「サイバーセキュリティ経営ガイドライン」https://www.meti.go.jp/policy/netsecurity/mng_guide.html
- *3 出典:IPA(情報処理推進機構)「SCS評価制度の詳細情報」https://www.ipa.go.jp/security/scs/details.html