情報システム構築の為の外部委託では、セキュリティ対策を委託先に行わせる事になります。

情報システムのセキュリティ対策を委託先で上手く実現するには、企業の調達部門がセキュリティ要件を明確に伝えなくてはいけません。

今回は外部委託の手順を解説しながら、情報システムの外部委託におけるセキュリティ対策の重要なポイントを知って頂きたいと思います。

情報システム構築の外部委託の大まかな手順

一般的な情報システム構築の外部委託における手順を解説します。

まずは企業の調達部門が、情報システムにおける要求仕様が記載された“調達仕様書”を作成します。
それに対して、委託先が提案仕様を記載した提案書を企業に提出し、調達部門はその内容を審査します。
その後委託先が決定したら、委託先による情報システムの設計や構築、テストが実施されます。
全ての工程において要求仕様が満たされている事が確認出来次第、納品完了という流れになります。

この大まかな手順の中で、情報システムのセキュリティ要件、またセキュリティ機能の詳細を、調達部門と委託先の間でやり取りしなくてはいけません。

主に以下の様なやり取りが重要でしょう。

・調達部門が調達仕様書に“セキュリティ要求仕様”を記載する
・委託先がセキュリティ要求仕様に沿ったセキュリティ対策である“セキュリティ提案仕様”を記載した提案書を提出する
・調達部門が厳しくセキュリティ提案仕様を審査する

“セキュリティ要求仕様”、“セキュリティ提案仕様”の概要

調達部門が作成するセキュリティ要求仕様には、情報システムの概要、保護すべき情報資産、前提条件、関連する脅威を記載します。

つまり簡単に言うと、調達部門は情報システムの概要を説明し、委託先がそれに応じたセキュリティ対策を取れるように伝えなくてはいけないという事です。

一方委託先が作成するセキュリティ提案仕様には、セキュリティ要件仕様に加えてセキュリティ対策、セキュリティ対策を実行する為の機能、制約の条件を記載します。

企業の調達部門は、以下の点に注意して外部委託を進めてく必要があります。

・調達部門の担当者は、セキュリティ要求仕様を作成する能力、セキュリティ提案仕様を適切に審査する能力を持っている事
・委託先が具体的なセキュリティ提案仕様を作成出来る様に、十分な内容のセキュリティ要求仕様を作成する事
・外部委託する情報システム等の外部条件（建物、電源、入退室管理等）、運用条件についてもセキュリティ要求仕様で十分に提示する事
・セキュリティ要求仕様の作成、セキュリティ提案仕様の審査には、検討に必要な期間を十分設ける事

つまり情報システムの外部委託によるセキュリティ対策とは、調達部門が伝えるべき事を委託先に伝え、優良な委託先を選定する事なのです。