Netwiz LLC

取引先からセキュリティチェックシートが届いたら。回答の進め方と注意点

ネットウィズ合同会社 庄司育雄

ある日、取引先から「セキュリティチェックシートにご回答ください」という Excelファイルが届く。開くと「アクセス制御の実施状況」「ログの保全」など 見慣れない言葉が数十問。意味が分からないまま、提出期限だけが迫ってくる—— 大手企業と取引のある中小企業に、いま最も多く降ってくる「突然の宿題」です。

なぜ届くのか

取引先はあなたの会社を疑っているわけではありません。恐れているのは サプライチェーン攻撃——セキュリティの緩い取引先を踏み台にして、 本丸である大企業へ侵入する手口です。実際に取引先経由の侵入事件が続いたため、 大手は取引条件としてセキュリティ状況の確認を求めるようになりました。

つまりこのシートは、取引を続けるための実務です。放置すれば取引の見直しに つながりかねない一方、きちんと回答すれば「管理のしっかりした会社」という 評価にもなります。

やってはいけない2つの対応

  • 分からないまま全部「はい」で出す: 最も危険です。チェックシートの回答は 取引の前提条件として扱われるため、事故が起きたときに実態と違う回答をしていると、 虚偽回答として契約上・賠償上の問題に発展しかねません。「はい」と書いた瞬間、 それは会社の約束になります
  • 放置する: 未提出は「管理できていない会社」という最悪のシグナルです。 期限に間に合わないなら、その旨を連絡して延長を相談する方がずっと良い

回答の進め方(4ステップ)

1. 全項目を3つに仕分ける

まず全問に答えようとせず、各項目を次の3つに分類します。

  • A: できている(事実を確認できる)
  • B: できていない
  • C: 質問の意味が分からない

この仕分けだけで、作業量と相談すべき範囲が見えます。

2. Aは「事実を確認してから」はい と書く

「ウイルス対策ソフトを導入していますか」——たぶん入っている、ではなく、 全PCで有効になっているかを実際に確認してから回答します。 チェックシートは無料のセキュリティ健康診断でもあります。確認の過程で 「あのPCだけ入っていなかった」が見つかるのはよくあることで、それ自体が収穫です。

3. Bは「いいえ+対応予定」と正直に書く

できていない項目を取り繕う必要はありません。多くのチェックシートは 満点を求めておらず、「現状を正確に把握していて、改善の意思があるか」を 見ています。「現在未実施。◯月までに導入予定」と書けるなら、それは 誠実で通る回答です。全項目「はい」の回答は、むしろ精査の対象になります。

4. Cは用語を調べる・人に聞く

意味の分からない項目は、勝手に解釈せず調べてから答えます。 よく出る項目の「日本語訳」を載せておきます。

シートの用語実際に聞かれていること
アクセス制御誰がどのデータを見られるか、決めて制限しているか
ログの取得・保全誰がいつ何をしたかの記録が残るようになっているか
脆弱性管理OSやソフトの更新を放置せず適用する仕組みがあるか
認証強化・多要素認証パスワードだけに頼らないログインにしているか(→2要素認証の解説
情報資産管理会社のPC・データが何台・どこにあるか台帳で把握しているか
インシデント対応体制事故が起きたとき誰が何をするか決まっているか

回答した後が本番

一度回答すると、来年も、別の取引先からも来ます。その都度ゼロから 調べ直すのは無駄なので、今回の回答と根拠(確認した内容)を1つのファイルに まとめて残してください。これが自社のセキュリティ台帳の第一歩になり、 2社目以降は大幅に楽になります。

そして「いいえ」と書いた項目のいくつかは、実際に直す価値があります。 まず自社でできる範囲はセキュリティ簡易チェック7項目を 参考にしてください。

まとめ

仕分け・事実確認・正直な回答——ここまでは自社で進められます。 一方で、「この質問にうちの環境で『はい』と言ってよいのか」という判断や、 「いいえ」を「はい」に変えるための具体的な対策は、御社の環境次第です。 シートの現物(と分かる範囲の現状)を添えてご相談いただければ、 回答の見立てをお返しします。回答作成の支援から対策の実施まで、 スポット対応で引き受けられます。