【問299】個人情報保護士 練習問題|サプライチェーンセキュリティ
情報セキュリティ 問119/120難易度B(標準)
問題文
サプライチェーンにおけるセキュリティリスクに関する次の記述のうち、最も不適切なものはどれか。
- 1.委託先のセキュリティ対策が不十分な場合、委託元の個人データが漏えいするリスクがある
- 2.サプライチェーン攻撃では、セキュリティの脆弱な取引先を経由して標的企業に侵入する手口がある
- 3.委託先の選定時にはセキュリティ対策状況を評価し、契約に安全管理に関する条項を含めるべきである
- 4.自社のセキュリティ対策が万全であれば、委託先や取引先のセキュリティ状況を確認する必要はない
解説
正解
正解は選択肢4です。
各選択肢の解説
選択肢1 → ❌誤り(適切な記述)
個人データの取扱いを委託する場合、委託先のセキュリティ対策が不十分であれば情報漏えいの原因となります。個人情報保護法では委託先の監督義務が定められています。
選択肢2 → ❌誤り(適切な記述)
サプライチェーン攻撃は、直接攻撃が困難な標的企業に対し、セキュリティの脆弱な取引先や委託先を踏み台として侵入する攻撃手法です。
選択肢3 → ❌誤り(適切な記述)
委託先の選定時にはセキュリティ監査やISMS認証の有無などを確認し、契約には機密保持条項や安全管理措置に関する条項を含めることが重要です。
選択肢4 → ✅正解(不適切な記述)
自社のセキュリティが万全でも、委託先や取引先の脆弱性を通じて攻撃を受けるリスクがあります。サプライチェーン全体のセキュリティを確保するため、取引先の状況確認は必須です。
背景知識
サプライチェーンセキュリティは近年最も重要なセキュリティ課題の一つです。IPA(情報処理推進機構)の「情報セキュリティ10大脅威」でもサプライチェーン攻撃が上位にランクインしています。個人情報保護法では、個人データの取扱いを委託する場合に委託先の監督義務が規定されており、委託先の選定基準の策定、契約条項の整備、定期的な監査の実施が求められます。ソフトウェアサプライチェーン攻撃(SBOM管理)も新たな課題として注目されています。
学習アドバイス
サプライチェーンリスクと個人情報保護法の委託先監督義務を結び付けて理解しましょう。委託先の選定・契約・監査の3段階の管理プロセスを具体的に説明できるようにしましょう。
まとめ
- サプライチェーン攻撃は取引先の脆弱性を経由して侵入する
- 委託先の選定・契約・監査を通じたセキュリティ管理が必要
- 自社だけでなくサプライチェーン全体のセキュリティ確保が重要