sg security_management vendor_management risk_assessment it_security_operations sg-security-management
まず結論
- 委託先管理とは「外部委託による情報漏えいリスクを管理すること」
- SG試験では「委託前・委託中・委託後のどの対策か」を判断させる問題がよく出る
直感的な説明
会社が仕事を外部に任せるとき👇
👉 「自分の会社の情報」を外に出すことになる
つまり👇
👉 委託先が事故を起こしたら、自社の責任になる
だから👇
👉 「任せる前・任せている間・終わった後」すべて管理が必要
定義・仕組み
委託先管理は3段階で考えると理解しやすい👇
① 委託前(選定・契約)
- 信頼できる会社か確認
例👇
- セキュリティ体制の確認
- 実績の確認
- 契約で義務を明確化
👉 ここでミスると全部アウト
② 委託中(監督・管理)
- 任せっぱなしにしない
例👇
- 定期的な監査
- 作業状況の確認
- アクセス権の制御
👉 「丸投げ」が一番危険
③ 委託後(終了時)
- 情報を残させない
例👇
- データの返却・削除
- アカウントの停止
👉 ここ忘れる問題よく出る
どんな場面で使う?
科目Bの典型パターン
- システム開発の外注
- データ処理の委託
- クラウドサービス利用
正しい判断の流れ
問題ではこう見ます👇
- 委託前の話?
- 委託中の話?
- 委託後の話?
👉 フェーズで切る
よくある誤解・混同
❌ よくある誤解
- 委託したら責任も移る
- 契約書があればOK
⭕ 正しい理解
- 責任は委託元に残る
- 契約+監督が必要
SG試験のひっかけ
典型パターン👇
- 「委託したので責任なし」→ ❌
- 「契約しただけで監督なし」→ ❌
- 「終了時のデータ削除なし」→ ❌
👉 丸投げは全部NG
まとめ(試験直前用)
- 委託先管理=外部委託のリスク管理
- 3段階(委託前・中・後)で考える
- 責任は委託元に残る
- 契約だけでなく監督が必要
- 「丸投げしていないか」で判断する
🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】