外部委託におけるセキュリティ強化

システム開発やシステム運用の現場においては、高度なITスキルの享受や短期間におけるシステム開発の実現のために、ITベンダー等、外部業者への業務委託が盛んに行われています。

KPMGは、外部委託におけるリスクの可視化や委託先業者に対する情報セキュリティ管理態勢の評価等を行い、外部委託におけるセキュリティ強化に向けた取組みを支援します。

外部委託先管理の不備が原因となったセキュリティインシデントは後を絶たず、システム開発・運用現場においては、セキュリティインシデントに至る原因となる、下記のような課題が恒常的に見受けられます。

• 業務委託に関する情報が案件ごとに個別に管理されており、リスク状況が一目で把握できない
• 委託先業者を管理する部署の役割と責任が曖昧である
• 情報セキュリティ対策の実態を把握できているのは一部の委託先業者のみである
• 外部委託先管理に関する社内規定やチェックリストにおいて、情報セキュリティにかかる項目が不十分である

また、今後は新型コロナウイルス感染症等の影響により、ITベンダーによるシステムの運用・保守業務もリモートワーク化が進み、以下のような新たな課題が懸念されています。

• 外部委託先のITベンダーの社員がリモートから社内環境へアクセスすることを想定していなかったため、当該ITベンダー社員のアクセス制御ポリシーが策定されていない
• 委託先における運用・保守業務に従事する者について、委託元にてその状況が把握しにくくなるため、当該従事者が業務から外れた際のアクセス権の削除対応が遅延してしまう

リスクの可視化と管理プロセスの改善を実現するGRCツールの活用や、管理態勢強化へ向けたロードマップの策定、 Webアンケートを利用した現状把握等を通じて、外部委託先におけるセキュリティ強化に向けた取組みを総合的に支援します。

また、数百社規模で外部委託先の企業等に対してアンケート調査とインタビュー、現地視察を効率的に組み合わせて行い、情報セキュリティ対策の実施状況について、独立した立場から評価するなどの支援も可能です。

KPMGは、サイバーセキュリティコンサルティングサービスにおけるグローバルリーダーに選出される等、外部委託におけるセキュリティ強化を含む、情報セキュリティ領域全般において深い知見を有しています。また、KPMGのグローバルネットワークを活用し、各地のプロフェッショナルと連携したサービスの提供が可能です。