2026年3月27日

今回のブログでは、前回[1]に続き開発ベンダと顧客の間でビジネス上発生するやり取りの中で、セキュリティインシデント（以下インシデント）やそれに伴うトラブルに発展する可能性のあるリスクと、それを低減させるために注意するべきポイントをご紹介します。

目次

はじめに

サイバー攻撃が激化し、インシデント発生のニュースを頻繁に目にするようになった昨今、インシデントを起こさないようにサイバーセキュリティが活発に議論され重要視されるようになってきました。過去のブログ[1]では、ビジネス上のやり取りの中でインシデントやそれに伴うトラブルに発展する可能性のあるリスクを「インシデントビジネスリスク」と呼称し、それを低減するためのポイントを契約・責任分担の観点からご紹介しました。今回は、提案段階において、「インシデントビジネスリスク」を低減するためのポイントをご紹介します。

インシデントビジネスリスクとその対策

セキュリティ対策・商材の提案漏れ

ベンダは顧客・発注元からの調達仕様書やRFPをもとに提案を行います。ここで提案するセキュリティ対策や商材に漏れがあった場合、図1のように、インシデント発生時の責任について問われるリスクがあります。逆に言えば、漏れのないセキュリティ提案を実施することでインシデントビジネスリスクを低減することが可能と考えられます。
例えば、過去の判例[2]では、ベンダが当然実施すべきであったSQLインジェクション対策を実施していなかったことから損害賠償を命じられていますが、ベンダ側からシステム改修の提案を行っていたことにより3割の過失相殺がなされています。
では、漏れのないセキュリティ提案とはどのようなものでしょうか。経済産業省により発行された「 D X レポート～IT システム「2025 年の崖」の克服とDX の本格的な展開～」では、改修案件における既存システムの問題点について「ユーザ企業に自覚がないため、RFP（Request For Proposal、提案依頼書）に特に記載がない。」[3]とあります。これは、RFPを充足していたとしても必ずしも十分なセキュリティ提案にはならない可能性を示唆しています。また、考え得るセキュリティ対策を全て提案するということは、過剰な提案となり失注リスクを高める可能性もあります。
RFPを充足するだけでは不十分という前提にたつと、RFPとは別に提案を行う際の出発点が必要です。これは、組織のセキュリティベースラインと同じように、提案における対策・商材のベースラインが利用できると考えます。このベースラインについては、信頼のおける機関の発行している規格やガイドラインをもとに策定することが望ましいですが、例えば「情報システムに係る政府調達における セキュリティ要件策定マニュアル」[4]等に記載されている“発注元”でのセキュリティ要件の策定方法や留意するべき事項も参考とすることで、より実効性のあるセキュリティ提案のベースラインの策定が可能と考えます。ベースラインから提案する対策や商材を絞り込む際には、基本的にはリスクベースによる絞り込みが望ましいですが、まずはRFPの中で提供される情報（構成や利用環境等）をもとに絞り込みことが有効と考えます。また、インシデントビジネスリスクの低減においては一貫して重要な考え方になりますが、ここでも提案した内容や発注元との合意内容については記録を残しておくことも重要です。

まとめ

提案時におけるインシデントビジネスリスクとそれを低減させる際のポイントをご紹介しました。漏れのない提案はインシデントやトラブルを防ぐためのファーストステップになります。あらためて提案におけるセキュリティについても重要視していただけると幸いです。

参考文献

執筆者の他の記事を読む