事業内容仕様書
件名
「クラウドサービスのサプライチェーンリスクマネジメント調査」
事業概要
市場が拡大しているクラウドサービスにおいて、特に多くの企業に利用されているSaaSのセキュリティ対策について以下の調査を行い、インシデントの原因やパターン、SaaSのサプライチェーンのセキュリティの脅威やリスク、今後の課題、今後深堀すべきポイントを明らかにして調査報告書等として取り纏める。本調査におけるSaaSのサプライチェーンのイメージを図1に示す。
・クラウドサービスに係るインシデント情報の収集と分析
・SaaS事業者が加盟している団体やコミュニティおよびSaaSの研究や普及啓発活動をしている団体へのインタビュー
業務内容
クラウドサービスに係るインシデント情報の収集と分析
SaaS事業者およびSaaS利用者にも影響を与えたセキュリティインシデントの情報を収集し、整理する。整理した情報を用いてインシデントの原因、影響範囲、対策などの詳細および共通点などを分析することでSaaSのサプライチェーン上で発生するインシデントの内容を明確にすることを目的とする。本作業の結果はインシデント一覧とインシデント概要図にまとめる。インシデント概要図は、分析の結果からSaaSのサプライチェーン上のリスク軽減のために着目すべきポイントを理解しやすくするため、インシデントがどのように発生するのか、どのように影響が広がるのか、どんな組織・システムがどう関連したのか、責任範囲はどこまでだったのかなどを図示したものである。作業の進め方や具体的な整理方法および図示の方法については請負者が提案し、___担当者と協議の上で決定する。
【収集するインシデント】
・インシデントの情報収集先は書籍、ニュース、企業の公開情報とすること
・インシデントの情報収集期間は2020年4月~2021年9月末に公表されたものとする。なお、公表は2021年10月以降であるが、本調査の目的に照らして有益な情報を得ると思われるインシデントが発生した場合は、___担当者と協議の上、2021年のインシデントとして追加することがある
・インシデントの情報収集は、2020年は最低5件、2021年は最低3件、合わせて10件以上収集し、同年度の情報だけに偏らないようにすること
・一つのインシデントの発生で、被害にあった企業が複数ある場合は同じインシデントとして扱い1件とする
・海外のインシデント事例を含めても良い
・本業務の目的に対して、関連性が乏しいと___担当者が判断したインシデント事例については、請負者に対して説明を求めたり、対象からの削除を求めたりすることがある。その場合でも上記の収集件数を確保すること
【インシデント一覧の項目例】
・インシデントの概要
・インシデントの発生日又は発生期間
・インシデントの公表日
・インシデント発覚の経緯
・インシデントに関連したクラウドサービス名称
・原因
・被害の影響範囲
・被害の金額可能であれば
・インシデントが発生したクラウド事業者名
・被害を受けた企業・組織名
・被害を受けた企業・組織の業種
・対応内容
・再発防止策
・情報収集先の情報書籍名、URLインターネット上の情報の場合等
【インシデント概要図】
・インシデント概要図は、原因の異なるインシデントについて3件以上作成すること
・インシデント概要図は、フロー、関係図、イラストなど、読み手が理解しやすい表記方法で、1件当たりA4サイズ1枚以内とすることが望ましい
・インシデント概要図には、SaaSの係り例えばSaaS事業者、SaaS利用者、システム・サービスの連携などを明記すること
SaaS事業者が加盟している団体やコミュニティおよびSaaSの研究や普及啓発活動をしている団体へのインタビュー
SaaS事業者が加盟している団体やコミュニティおよびSaaSの調査や普及啓発活動をしている団体へのインタビュー調査を実施する。請負者は、インタビュー調査について実施期間、調査対象、インタビュー項目など実施内容に関する詳細な計画を作成し、___担当者と協議の上で実施すること。なお、インタビュー調査の実施方法は原則オンラインとし、感染対策を施した上で、対面も可能とする。
• インタビュー項目の作成
インタビューの目的は、SaaSのサプライチェーンにおけるセキュリティ対策において、今後深堀する必要があるポイントを明らかにすることである。それを引き出すべく、4.1で収集したインシデント情報を踏まえ 、以下の(a)(b)(c)(d)の条件を満たしたインタビュー項目を作成すること。
• SaaSのサプライチェーンにおけるセキュリティ対策において、今後深堀する必要があるポインを明らかにするため、以下の仮説について検証可能な粒度の具体的な仮説を立案する。立案する仮説は中項目3件以上以下に示した【具体的な仮説の例】の中項目を含めること、中項目1件に対して、中項目を検証できる小項目を2件以上立案すること。なお、【具体的な仮説の例】に示した中項目については、①②以外の小項目をさらに2件以上立案すること。どの仮説を採用するかについては___担当者と協議の上決定すること。
【仮説】
SaaSのサプライチェーンのセキュリティ対策が不足しているのではないか
【具体的な仮説の例】
中項目:機能が優先されセキュリティ対策が軽んじられているのではないか
小項目:①非機能要件にセキュリティに関する項目が含まれてないのではないか。
②セキュリティ要件の確認をするテスト項目が作成されていないのではないか。
• (a)で立案した仮説に対して、インタビュー対象が団体の活動の中で経験した事例や感じていることを確認する項目を含めること。
• (a)で立案した仮説をインタビュー対象が所属している団体で検証するとしたら、どのような方法が考えられるかを確認する項目を含めること。
• 4.1で作成したインシデント概要図を示し、どのようなインシデントが特に危ないと感じるか、インシデント概要図の事例以外に、どのような脅威・リスクが考えられるかを確認する項目を含めること。どの概要図を示すかについては___担当者と協議の上決定すること。
• インタビュー対象の選定
インタビュー対象が確保できるよう、請負者において候補を選定し、選定した理由、本調査の目的達成にどのような貢献が期待できるかを___担当者に説明すること。
・インタビュー対象は、SaaS事業者が加盟している団体やコミュニティおよびSaaSの研究や普及啓発活動をしている団体5団体以上とすること
・インタビュー対象に選定する団体のうち2団体は、一般社団法人日本インターネットプロバイダー協会 、一般社団法人日本経済団体連合会、一般社団法人ASP・SaaS・AI・IoTクラウド産業協会、日本クラウドセキュリティアライアンスのいずれかとする
・4.2(1)で作成したインタビュー項目について、インタビュー対象の属性、取り組み状況、専門性などを考慮し、どの対象にどの項目をインタビューするかを想定し、インタビュー対象を選定する
・請負者は、選定した関連団体と調整し、インタビューすることが可能であることを確認し、___担当者と協議の上、インタビュー対象を決定する
• インタビューの実施
4.2(2)で決定した団体に対して、4.2(1)で作成した項目についてインタビューを実施し、インタビュー結果の記録を行う。インタビュー実施時期の目安は2022年1月末までとする。原則として___担当者が同席するため、日程調整には___担当者のスケジュールも考慮すること。 • インタビューの実施方法は原則オンラインとし、感染対策を施した上で、対面も可能とする。会場やオンライン会議ツールについては請負者がインタビュー対象者と相談し、決定すること。なお、実施に当たりインタビュー対象者に過度の負担が発生しないよう配慮すること。
• (a)で決定したインタビューの実施方法に伴い、会場やオンライン会議ツールの準備をすること。
• 請負者がインタビュー記録個票を作成すること。インタビュー記録個票は実施日時、出席者、質問内容とその回答等をインタビュー対象者毎に整理して記載すること。
• インタビュー対象者に対して、インタビュー内容については個人名や企業名はわからないように公開すること、秘密事項は公開しないことを伝えること。
• インタビューの結果の分析
インタビュー内容から得られた結果を分析し、以下を明らかにする。
・SaaSのサプライチェーンにはどのような脅威やリスクがあるのか
・SaaSのサプライチェーンにおける今後の課題
・SaaSのサプライチェーンにおいて今後深堀すべきポイント
