「ITはベンダーに任せてある」
が一番危ない理由
「セキュリティのことはITベンダーさんがやってくれています」——この一言を、中小企業の経営者からよく聞きます。しかし現実には、ITベンダーの保守契約にセキュリティ診断は含まれていないことがほとんどです。「任せてある」という安心感こそが、気づかぬうちにリスクを積み上げている原因かもしれません。
ITベンダーの契約範囲——実は「診断」ではなく「対応」
まず、一般的なITベンダーとの保守契約が何をカバーしているか整理しましょう。多くの場合、契約に含まれるのは次のような内容です。
・機器の障害対応(壊れたら直す)
・ソフトウェアのバージョンアップ対応
・ヘルプデスク(操作方法の質問対応)
・定期的な死活監視(サーバが落ちていないか確認)
これらはどれも「問題が起きたときに対応する」か「機器が動いているかを確認する」ことです。 セキュリティ上の脆弱性を能動的に探す「診断」行為は、別途の有償サービスになるのが業界標準です。 つまり、普段の保守業務の中でベンダーが自発的に「御社のシステムに侵入できる穴がないか調べます」とはやらないのです。
「ベンダーが毎月来ている → 安全を確認してくれている」
→ 実態は「機器が正常に動いているか」の確認です。セキュリティの穴を調べているわけではありません。
たとえ話:管理会社に任せた建物の「死角」
ITが専門でない方のために、建物の管理に例えて考えてみましょう。
あなたがオフィスビルのオーナーだとします。管理会社と契約し、清掃・設備点検・緊急対応を任せています。管理会社はとても仕事が丁寧で、エレベーターのメンテナンスも電気設備の点検も欠かさず行っています。
しかし、防犯カメラの死角になっている裏口、鍵が古くてすぐにこじ開けられる非常扉——こういった「セキュリティ上の弱点」を能動的に探して報告するのは、管理会社の契約範囲外です。「言われたこと以外はやらない」のが契約というものです。
ITベンダーも同じです。保守の仕事はしっかりやってくれていても、あなたのシステムの「裏口」がどこにあるかは、誰も調べていないかもしれません。
防犯カメラの死角や施錠の強度は、建物の「オーナー」が最終的に責任を持って確認しなければなりません。それと同様に、自社のシステムのセキュリティ状態は、経営者が把握すべき経営リスクのひとつです。
事故が起きたとき、ベンダーに責任を問えるか?
「何かあればベンダーが責任を取ってくれる」——残念ながら、契約書を読むとそうはなっていないことがほとんどです。
保守ベンダーに責任を問うためには、「その穴の対策を依頼していた」「その穴の存在をベンダーが認識していた」という事実が必要です。普段の保守作業の範囲外のことについて、ベンダーが法的責任を負う根拠は薄いのが現実です。
「なぜ防いでくれなかったのか」
「弊社との契約はサーバ保守です。ネットワークのセキュリティ診断は含まれておりません。そちらはご依頼いただいていない範囲です」
→ 契約書を確認すると、たしかにそう書かれていた。
「ベンダーに任せていた」は個人情報保護委員会に通用しない
個人情報を扱う事業者がセキュリティ事故を起こした場合、個人情報保護委員会への報告義務が発生します(個人情報保護法 第26条)。この義務を負うのはデータを持っていた事業者本人であり、「ベンダーに任せていたから知らなかった」は免罪符になりません。
顧客情報・従業員情報・取引先情報——これらを自社のシステムで管理している以上、そのセキュリティ状態を把握する責任は経営者にあります。ベンダーへの委託は「作業の委託」であり、「責任の委託」ではないのです。
不正アクセス等によって個人データが漏えいした場合、事業者は個人情報保護委員会への報告と、本人への通知が義務となります(2022年4月施行の改正個人情報保護法)。報告義務を怠ると行政指導・命令・罰則の対象になります。
自社で確認すべき最低限のこと
「ではどこから始めればいいか」という方のために、ベンダーに頼らず自社で確認できる最低限のポイントを整理します。特別な知識がなくても確認できることから始めましょう。
-
1
ベンダーとの契約書を読み返す
「セキュリティ診断」「脆弱性診断」「ペネトレーションテスト」という言葉が契約書に登場するか確認してください。なければ、その業務は契約に含まれていません。今すぐ確認できる最初のステップです。
-
2
自社のWebサイト・ドメインを外から見てみる
自社のWebサイトやメールサーバが外部からどう見えているか——SSL証明書の有効期限、不審なポートの開放、セキュリティ設定の欠落など——は、ツールを使えば数分で確認できます。「表から見える穴」を把握することが第一歩です。
-
3
社内にアクセスできる外部関係者を洗い出す
ITベンダー・クラウドサービス業者・フリーランスのエンジニアなど、社内ネットワークやシステムにアクセスできる外部の人間を一覧化してください。「なんとなく繋がったまま」になっているアクセス権がないか確認しましょう。
-
4
「何かあったときどうするか」を決めておく
万が一セキュリティ事故が発生した場合の初動対応(誰に連絡するか・何を停止するか・いつ公表するか)を事前に決めておくことが重要です。事故が起きてから考えていては対応が遅れ、被害が拡大します。
まとめ——「任せる」と「把握する」は別のこと
- ITベンダーの保守契約はほぼ「障害対応・死活監視」であり、セキュリティ診断は別サービス
- 「管理会社に建物を任せていても、防犯カメラの死角は自分で確認する必要がある」のと同じ
- 事故が起きてもベンダーへの法的責任追及は難しい——契約書に免責条項がある
- 個人情報漏えいの報告義務は事業者本人が負う。「知らなかった」は通用しない
- まず「外から自社がどう見えているか」を把握することが、すべての出発点
「外から見た自社の状態」を今すぐ確認する
Leapsecの無料診断では、外部から見た自社サイトのリスクを5分・登録不要・無料で確認できます。
ベンダーに聞く前に、まず現状を把握しましょう。
結果はメールで届きます。営業電話は一切ありません。
参考
個人情報保護法 第26条(2022年4月施行・改正)/個人情報保護委員会 公式ガイドライン
執筆:株式会社リープリック(ITインフラ設計・構築・保守 14年)