H27 SM PM2-2 外部サービス利用における供給者管理について


設問ア:ITサービスの概要、顧客からの要求事項、及び利用した外部サービスについて


 Z社は、自社開発のネットワーク機器を販売する通信事業者である。Z社技術部では、自社開発の機器及びネットワーク、PCに関するインシデント対応や問い合わせ対応(以下、サポート対応という)を自社にて実施している。
 Z社技術部のサポート対応のうち、受付と簡易的な対応は、子会社であるY社が実施し、これを一次対応としている。一次対応で完了しなかったサポート対応を二次対応としてZ社技術部にてサポート対応を実施している。
 Z社では、サポート対応の終了後にアンケートを実施して、顧客からの要望を確認している。私は、Z社技術部に所属するITサービスマネージャとして月次でアンケートの内容を確認している。
 アンケートは、当該サポート対応に関する質問と共に、フリーで記入できる要望や改善希望を記入する。先日、全国的なニュースにもなった内部情報漏洩が発生した。これを受けZ社に送られたアンケートの内容も内部情報漏洩に関する内容が増加した。
 Z社では、自社開発のNAS(Network Attached Storage)があり、これをファイルサーバとして販売している。このファイルサーバは、各フォルダ及びファイル単位で詳細な権限付け(以下、権限付けという)が可能であり、この権限付けに対するサポート対応も実施している。
 この権限付けは簡易作業のため、Y社によるサポート対応が実施される。
 私は、Y社によるサポート対応を実施する上で、この権限付け作業が、顧客からの要望である内部情報漏洩を引き起こすことがないようにしなければならないと考えた

658-1458

設問イ:顧客からの要求事項に応えるために、供給者に求めた要求事項と、供給者管理の活動内容


 Z社及びY社では月次で会議を開き、サポート対応におけるOLA(Operational Level Agreement)の達成状況や最新のインシデントの傾向などを報告している。
 私はこの会議に参加し、設問アで述べた顧客からの要望事項に応えるため、Y社に対して機密情報の取り扱いなどの情報セキュリティの要求事項を明らかにした。
 これは、具体的には、権限付け作業の手順の遵守である。
 Z社のサポート対応では、機密情報の取り扱いに関する対応は以下のように対応する。受付時に機密情報の取り扱いが判明した場合、対応開始前に、FAX及びZ社開発の電子契約ソフトを利用し、顧客代表者及び該当情報にアクセスが許可された管理者との作業についての同意書(以下、同意書という)を交わす。対応時には、各サポート対応毎に設定する大まかな内容を示す対応区分を「機密情報」と設定する。
 この手順について漏れや不備があった場合、本来該当機密情報にアクセスが許可することをできない者を許可し、不正な権限昇格によって、重大な情報セキュリティインシデントを発生させることが考えられる。
 私は、さらに上記の作業の手順に関する状況を継続的に確認する必要があると考えた。これについては、同意書の取得が必要なサポート対応について、対応区分が「機密情報」についての同意書の取得状況を週次で確認する。
 次に、この対応区分が「機密情報」についての同意書の取得状況が100%となるように評価基準を設けた。これにより、100%を下回る事態である、手順の遵守がされない状況の発生を監視し、評価をする。
 さらに、Y社に対し、上記の評価基準から100%を下回る事態が発生した場合は、原因と再発防止策について報告を求めることした。
 私は、この会議において、以上をY社に指示し、Y社に要求事項としてまとめ、供給者管理を徹底することとした。
1452-2052

設問ウ:供給者管理の評価と供給者管理の改善の継続


 設問イの供給者管理を実施して三か月が経ち、設問イで述べた評価基準も100%を維持し、機密情報の漏洩に関しては重大なインシデントが発生することはなかった。手順の遵守により、アンケートにおいても、同意書の取得に対して好意的な意見が多く、問題はないと考えられる。 
 ただし、顧客からの要求事項、特に情報セキュリティインシデント関わる事項はその傾向や手口も日々変化し高度化する。
 私は、これについては、今回の対応だけではなく、経過観察や継続的な改善がが必要と考え、以下のような供給者管理の改善の継続を検討した。
 一点目は、顧客からの要求事項の変化を、引き続きアンケートの内容を仔細に確認し、顧客の要求事項にフィードバックする点である。これは、今後については私だけでなく、Z社及びY社の要員も確認できるように手配し、多角的な視点を持てるように配慮した。
 二点目は、供給者管理の改善の継続についてである。今回は、同意書取得についての手順についての監視についてであったが、顧客要望である内部情報漏洩についても、日々傾向や手口が変化するものと考えられ、それに合わせてZ社のサポート対応及び作業手順の変化することが考えられる。この為、事象に対するリアクティブな改善だけではなく、プロアクティブな改善も必要と考えた。私は、このプロアクティブな改善のために、セキュリティ教育を強化することとし、月次でEラーニングにて、内部情報漏洩やセキュリティに関しての教育を実施するようY社要員に手配した。


この記事が気に入ったらサポートをしてみませんか?