ケースで学ぶ実装:調達・再委託・クラウドを“止めずに強くする”
Day3は、Day1・Day2で固めた方針と優先度を実務へ落とし込む回です。匿名のケーススタディ(成功・失敗)で、RFP→契約→運用→監査の一連の流れを具体化し、最後に条項サンプルとチェックリストを提供します。狙いはただ一つ――「調達のスループットを落とさず、再委託連鎖までセキュリティの手を届かせる」ことです。
ケース1:RFPから契約・監査まで(★3を軸に短期立ち上げ)
背景:A社は情報系のアウトソースを進める中、重要な業務システムの更改で評価制度対応を求められる立場にも、求める立場にもなりました。ボトルネックは、案件ごとにセキュリティ質問票が乱立し、審査に数週間を要していた点です。
解決の筋:A社はDay2の優先度に沿い、まず★3の衛生要件をRFPと契約条項の共通語彙に統一。併せて証憑の再利用(自己評価書・ログ設定画面のスクリーンショット・CAB議事録)を認める方針を社内規程化し、審査のターンアラウンドを半減しました。
- うまくいった点:RFP→契約→年次レビューの各書式で同じ語彙を使用。「一度出した証憑を何度も出させない」原則を徹底。
- 詰まりかけた点:監査部門から「独自様式での提出」を求める動き。→ 経営会議で「制度準拠様式>独自様式」を明確化し解消。
ケース2:再委託チェーンの可視化(★4の波及を“やりすぎず”回す)
背景:B社はSaaS・MSPを多用。一次委託先のさらに外側に再委託が広がり、どこまで要求を適用するかが不明瞭でした。過去には全社一律の現地監査で業務が滞った経験があります。
解決の筋:重要取引先(機密データ・基幹接続・復旧依存のいずれかに該当)に限り、★4相当の把握を要求。把握手段は二層に分け、①台帳・第三者評価レポートの確認を原則、②懸念事項がある場合のみ追加質問またはスポット点検としました。これにより、過去の“やりすぎ監査”を回避しつつ、実効性を確保しました。
- うまくいった点:対象判定の明文化(情報機微性 × 接続強度 × 代替不能性)。
- 詰まりかけた点:再委託先の入替時に報告漏れ。→ 契約に「再委託変更の事前通知」条項を追加し、台帳自動更新フローを構築。
ケース3:クラウド運用で実装密度を上げる(ログ・復旧・鍵)
背景:C社はIaaS+SaaSのハイブリッド。障害・攻撃のトリアージでログ不足に陥り、復旧試験も形式的でした。
解決の筋:①横断ログの収集・保存期間を要件化、②復旧目標(RTO/RPO)を事業と合意、③暗号鍵の管理区分(BYOK/KMS)を明確化。プロバイダの監査レポートや構成証跡の提出窓口をRFPで規定しました。
- うまくいった点:監視・復旧のSLO化と、年次の演習計画(シナリオ別)。
- 詰まりかけた点:SaaS側の監査証跡が不足。→ 「合理的に入手可能な範囲」での代替証憑(機能仕様+設定画面エビデンス)を認める運用に更新。
失敗パターン集5選(致命傷と回避策)
- 語彙不一致:RFP・契約・監査で別の言い方。
回避策:制度準拠語彙集を内規に添付し、書式間でコピーペースト可能に。 - 一律・過剰監査:全社一律の現地点検。
回避策:台帳+第三者評価の再利用を原則。例外時のみスポット点検。 - 責任分界の曖昧さ:クラウドやMSPで「誰が何を持つか」が不明。
回避策:RACIと責任分界表(データ/設定/ログ/鍵)を契約添付。 - 復旧の空文化:RTO/RPOが未合意、演習なし。
回避策:四半期ごとに復旧演習と是正のCAB報告を義務化。 - 再委託の“野放し”:変更通知や把握が届かない。
回避策:再委託変更の事前通知・同等水準義務・退出時データ消去証明を条文化。
条項・書式サンプル(RFP/契約/SLA/監査)
以下は、経営・法務・調達・情シスでそのまま叩き台にできる最小限セットです(自社事情に合わせて修正してください)。
【RFPひな形|セキュリティ要求 抜粋】
1. 評価制度の★レベル
1.1 本案件における要求水準:★3(必須)、★4(重要領域)。
1.2 提供開始時点の充足計画(不足がある場合は是正計画と期限)。
2. 責任分界と証跡
2.1 データ/設定/ログ/鍵管理の分界表を提出。
2.2 証跡の再利用可(台帳登録、第三者評価レポート、設定エビデンス等)。
3. ログ・監視
3.1 収集範囲(クラウド/オンプレ)、保存期間(○ヶ月以上)、提供形式。
3.2 重大インシデントの通知SLA(検知後○時間以内に一次報)。
4. 脆弱性・パッチ
4.1 重大度基準(CVSS v3.x 9.0+ 等)、適用SLA、例外管理手順。
5. 復旧(BCP/DR)
5.1 RTO/RPO目標値、四半期の復旧演習と結果報告(CAB議事録添付)。
6. 再委託
6.1 重要機能の再委託は事前承諾。変更時は○日前通知。
6.2 再委託先に同等水準の対策を契約で義務付けること。
7. 退出(Termination)
7.1 データ返還/消去の手順・期限・証明書式。
【契約条項 例|セキュリティ特約 抜粋】
第X条(評価制度の遵守)
1. 受託者は、本契約の対象業務に関し、甲が要求する★レベルを維持する。
2. ★4を要する領域について、受託者は第三者評価の有効期間中、年次自己評価の結果を乙に提出する。
第Y条(監査・情報提供)
1. 乙は、本特約の遵守状況について合理的範囲で監査を実施できる。
2. 受託者は、監査に必要な資料(台帳登録状況、ログ設定、是正記録)を提供する。
第Z条(インシデント対応)
1. 受託者は、重大インシデント発生時、検知後○時間以内に一次報を行う。
2. 原因分析、影響範囲、暫定/恒久対策、再発防止計画を○日以内に提出する。
第W条(再委託)
1. 重要機能の再委託には乙の事前承諾を要する。
2. 再委託先に対し、本特約と同等水準の対策義務を課す。
3. 再委託先の変更は○日前までに通知する。
第Q条(終了時の措置)
1. データ返還・消去の期限・方式を定め、完了証明書を提出する。
【監査チェックリスト 例|年次レビュー】
□ ★レベルの適用範囲に変更はない(ある場合は台帳更新済み)
□ 重大CVEのSLA遵守率(%)/例外の承認と是正期限の記録あり
□ ログの収集範囲・保存期間を満たす(抜取検査で確認)
□ 復旧演習の実施(RTO/RPO達成/未達の是正計画)
□ 再委託先の変更記録/事前通知/同等水準義務の確認
□ 退出案件のデータ消去証明の取得
台帳・年次レビューの回し方(監査とつなぐ)
台帳は「誰がどの★を、どの範囲で、いつまで」を示す基礎データです。調達・契約・監査の三機能が同じ台帳を参照すれば、重複依頼を劇的に減らせます。年次レビューは次の順で回してください。
- 台帳差分の抽出(新規・終了・再委託変更)。
- 年次自己評価の結果取り込み(不足は是正計画へ)。
- 重要領域のサンプリング監査(証憑の鮮度・再現性を確認)。
- 経営レビュー:例外承認の棚卸し、翌年度の★要求方針を決定。
現場へのハンドオフ設計(RACI/ワークフロー)
| プロセス | R(実行) | A(責任) | C(協議) | I(連絡) |
|---|---|---|---|---|
| 適用範囲の決定 | 情報セキュリティ | CISO/事業責任者 | 調達・法務・監査 | 主要子会社・MSP |
| RFP発出・評価 | 調達 | 事業責任者 | 情報セキュリティ・法務 | 監査 |
| 契約・特約整備 | 法務 | 事業責任者 | 調達・情報セキュリティ | 監査 |
| 年次レビュー | 情報セキュリティ | CISO | 監査・調達 | 事業・子会社 |
| 例外承認 | 情報セキュリティ | 経営(CIO/CISO) | 法務・監査 | 関係部門 |
Day4へのブリッジ(90日ロードマップに反映)
Day4では、本日のケースと条項を0–30–60–90日の計画へ編み込みます。とくに★3自己評価の準備タスク、重要領域の★4第三者評価の計画、台帳公開の運用を時間軸で並べ、費用とリスク低減の見立てを提示します。
ご相談
📩 経営課題に合わせた個別提案(RFP・契約・監査テンプレの自社最適化)が必要な方は、 こちらからご相談ください。
 ケースで学ぶ実装:調達・再委託・クラウ){kind=link}