セキュリティ質問票とは
セキュリティ質問票は、取引先のセキュリティ対策状況を確認するための標準化された質問リストです。サプライチェーン攻撃対策として、取引先のリスクを効率的に評価するための重要なツールです。
- 質問票の目的
- 取引先のセキュリティ対策状況を体系的に把握し、リスクを評価することが主な目的です。取引開始前の審査、定期的な再評価、契約更新時の確認などに活用されます。
- 活用シーン
- 新規取引先の選定時、既存取引先の年次評価、契約更新時の再評価、インシデント発生後の確認など、さまざまな場面で活用されます。
- 質問票を使うメリット
- すべての取引先を同じ基準で評価でき、結果の比較が容易になります。また、質問と回答が記録として残るため、経年変化の追跡や監査への対応にも役立ちます。評価プロセスの標準化・効率化にもつながります。
取引先管理の全体像についてはサプライチェーン攻撃と取引先管理|サプライヤー評価・ベンダー監査の進め方をご覧ください。
質問票に含めるべき項目
セキュリティ質問票には、組織体制からインシデント対応まで、幅広いカテゴリの質問を含める必要があります。以下に、主要なカテゴリと質問項目を紹介します。
| カテゴリ | 質問項目例 | 回答形式 | 評価ポイント |
|---|---|---|---|
| 組織体制 | セキュリティ責任者(CISO等)は配置されていますか | Yes/No | 責任体制の明確化 |
| 組織体制 | セキュリティ方針は策定・周知されていますか | Yes/No+文書添付 | 方針の存在と周知 |
| 組織体制 | 従業員向けセキュリティ教育は実施していますか | 選択式(頻度) | 教育の実施状況 |
| 技術対策 | ファイアウォール・UTMを導入していますか | Yes/No | 境界防御の有無 |
| 技術対策 | すべての端末にマルウェア対策ソフトを導入していますか | Yes/No | エンドポイント保護 |
| 技術対策 | 多要素認証(MFA)を導入していますか | 選択式(範囲) | 認証強化の状況 |
| 運用管理 | セキュリティパッチの適用頻度を教えてください | 選択式(頻度) | 脆弱性対応の迅速性 |
| 運用管理 | 定期的なバックアップを実施していますか | Yes/No+頻度 | 復旧への備え |
| 運用管理 | アクセス権限は最小権限の原則で管理されていますか | Yes/No | 権限管理の適切性 |
| インシデント対応 | インシデント対応手順は文書化されていますか | Yes/No | 対応体制の整備 |
| インシデント対応 | インシデント発生時の連絡先は明確ですか | Yes/No+連絡先記載 | 報告体制の整備 |
| 認証・規格 | ISMS(ISO 27001)認証を取得していますか | Yes/No+証明書添付 | 第三者認証の有無 |
| 認証・規格 | プライバシーマーク(Pマーク)を取得していますか | Yes/No | 個人情報保護体制 |
| 再委託管理 | 業務の再委託を行っていますか | Yes/No | サプライチェーンの把握 |
| 再委託管理 | 再委託先のセキュリティ管理を行っていますか | 選択式(方法) | 多層管理の実施 |
質問項目は、取引内容や業種に応じてカスタマイズすることが重要です。機密情報を扱う取引先には情報管理に関する詳細な質問を、システム連携がある取引先にはネットワークセキュリティに関する質問を追加するなど、リスクに応じた調整を行います。
質問票テンプレートの例
質問票を効果的に運用するためのポイントと、具体的な質問例を紹介します。
- 質問形式の使い分け
- Yes/No形式:対策の有無を確認する基本的な質問に使用。回答が明確で集計しやすい。選択式:対策のレベルや頻度を確認する質問に使用。例えば「パッチ適用頻度」を「毎日/週次/月次/四半期以上」から選択。記述式:具体的な内容や補足情報を収集する質問に使用。ただし、評価の負担が増えるため最小限に。
- 質問の粒度
- 質問は具体的すぎず、曖昧すぎないレベルに設定します。例えば「セキュリティ対策をしていますか」は曖昧すぎ、「ファイアウォールのルールを3か月以内に見直していますか」は細かすぎる場合があります。「ファイアウォールを導入し、適切に管理していますか」程度が適切です。
- 必須質問と任意質問
- すべての取引先に確認すべき必須質問と、取引内容に応じて確認する任意質問を分けて設定します。これにより、取引先の負担を軽減しながら必要な情報を収集できます。
- 【質問例1】セキュリティ責任者について
- 「貴社において、情報セキュリティの責任者(CISO、情報セキュリティ管理責任者等)は明確に定められていますか?」回答:Yes/No。Yesの場合は役職名を記載。
- 【質問例2】マルウェア対策について
- 「すべての業務用端末(PC、サーバー)にマルウェア対策ソフトを導入し、定義ファイルを最新の状態に保っていますか?」回答:Yes/No/一部導入。一部の場合は導入率を記載。
- 【質問例3】インシデント対応について
- 「セキュリティインシデントが発生した場合の対応手順は文書化されていますか?また、過去1年以内にインシデント対応訓練を実施しましたか?」回答:Yes(両方)/Yes(手順のみ)/Yes(訓練のみ)/No。
- 【質問例4】認証取得について
- 「以下のセキュリティ認証・規格を取得していますか?該当するものをすべて選択してください。」選択肢:ISO 27001(ISMS)/Pマーク/SOC2/その他(自由記述)/なし。取得している場合は証明書のコピーを添付。
回答の評価方法
質問票の回答を評価し、取引先のリスクレベルを判定する方法を解説します。
スコアリング方式
各質問に対する回答に点数を付け、合計点で評価する方法です。
| 回答 | 基本点 | 重み付け例 |
|---|---|---|
| Yes(対策あり) | 3点 | 重要項目×2倍 |
| 一部対策 | 1〜2点 | − |
| No(対策なし) | 0点 | − |
重み付けは、項目の重要度に応じて行います。例えば、「多要素認証の導入」「バックアップの実施」など、サプライチェーン攻撃対策として特に重要な項目には2倍の重みを付けます。
合格基準の設定
スコアをもとに、合格ライン・要改善ライン・取引不可ラインを設定します。
- 合格ライン(例:80点以上)
- 十分なセキュリティ対策が実施されている。通常の取引継続。定期的な再評価(年次など)を実施。
- 要改善ライン(例:60〜79点)
- 基本的な対策は実施されているが、一部に不足がある。改善計画の提出を求め、期限を設けて改善を確認。新規案件の発注を控えることも検討。
- 取引見直しライン(例:60点未満)
- 重大なセキュリティリスクがある。取引継続の可否を検討。改善が見られない場合は取引停止も視野に入れる。
業種や取引内容によって基準を調整することも重要です。機密情報を扱う取引先には、より高い基準を設定します。
フォローアップ
評価結果に基づくフォローアップを確実に行います。
- 不合格・要改善の場合
- 具体的な改善項目と期限を伝え、改善計画の提出を求めます。期限は問題の深刻度に応じて設定(例:重大な脆弱性は1か月以内、体制整備は6か月以内など)。
- 再評価の実施
- 改善期限後に再度質問票を送付するか、改善報告を受けて確認します。改善が不十分な場合は、追加の対応を検討します。
質問票回答例(取引先向け)
質問を受ける側(取引先・中小企業)向けに、回答のポイントと例を紹介します。
- 回答の基本姿勢
- 正直に回答することが最も重要です。実態と異なる回答は、監査時に発覚する可能性があり、信頼関係を損ないます。対策が不十分な場合は、改善計画とともに正直に回答しましょう。
- 模範回答の例(セキュリティ責任者)
- 質問「セキュリティ責任者は配置されていますか」に対し、良い回答例:「Yes。情報システム部長がセキュリティ責任者として任命されており、全社のセキュリティ施策を統括しています。」悪い回答例:「Yes」のみ(具体性がなく、実態が伝わらない)。
- 模範回答の例(パッチ管理)
- 質問「セキュリティパッチの適用頻度」に対し、良い回答例:「重要なパッチは公開後1週間以内、その他は月次で適用しています。自動更新が可能なソフトウェアは自動更新を有効化しています。」悪い回答例:「定期的に適用」(具体性がない)。
- よくあるNG回答とその改善
- NG:「検討中です」→ 改善:「現在は未実施ですが、○月までに導入予定です」(具体的な予定を示す)。NG:「該当なし」→ 改善:質問の趣旨を確認し、適切に回答する。NG:無回答 → 改善:回答できない理由を記載する。
中小企業として大企業からの評価に対応する方法については、中小企業の取引先要件対応|大企業からの質問票・監査への回答方法も参考にしてください。
業界標準の質問票
ゼロから質問票を作成する代わりに、業界標準のフレームワークを活用することで、効率的に質問票を整備できます。
- SIG(Standardized Information Gathering)
- Shared Assessmentsが提供する業界標準の質問票。金融業界を中心に広く使用されています。包括的な質問項目を含み、リスク評価に活用できます。英語ベースですが、日本語訳も存在します。
- CAIQ(Consensus Assessments Initiative Questionnaire)
- Cloud Security Alliance(CSA)が提供するクラウドセキュリティ評価のための質問票。クラウドサービス事業者の評価に適しています。CSA STAR認証とも連携しています。
- 自工会・部工会チェックシート
- 日本自動車工業会(自工会)と日本自動車部品工業会(部工会)が作成したセキュリティチェックシート。自動車業界向けですが、製造業全般に参考になります。日本語で、国内の状況に即した内容です。
- 各業界のガイドライン付随の質問票
- 金融業界(FISC安全対策基準)、医療業界(厚労省ガイドライン)など、各業界のガイドラインに付随する質問票やチェックリストがあります。業界特有のリスクに対応しています。
標準質問票のメリット・デメリット
| 観点 | メリット | デメリット |
|---|---|---|
| 作成効率 | ゼロから作成する必要がない | 自社に不要な項目も含まれる |
| 回答効率 | 取引先が過去の回答を再利用できる | 項目数が多く負担になる場合も |
| 比較可能性 | 業界内での比較が容易 | 業種が異なると比較しにくい |
| 網羅性 | 専門家が設計した包括的な内容 | 最新の脅威に対応していない場合も |
質問票運用の効率化
多数の取引先に質問票を送付・回収・評価するための効率化の方法を紹介します。
- 質問票管理ツールの活用
- Excelでの管理には限界があります。質問票の送付・回収・集計を自動化できるツールを活用することで、工数を大幅に削減できます。専用のTPRMツールやGRCプラットフォームが提供されています。
- 定型回答の再利用
- 取引先が過去に回答した内容を次回の評価で再利用できる仕組みを設けます。変更があった項目のみ更新することで、回答者の負担を軽減できます。
- 第三者評価の活用
- BitSightやSecurityScorecardなどのセキュリティレーティングサービスを活用すれば、外部から継続的に取引先のセキュリティ状況を評価できます。質問票を補完する情報源として活用できます。ただし、外部評価だけでは確認できない内部の対策状況もあるため、質問票との併用が効果的です。
- 評価のアウトソーシング
- 取引先評価業務を専門会社に委託することも選択肢です。評価の専門性を確保しながら、社内の工数を削減できます。
TPRM(第三者リスク管理)の体制構築についてはサプライチェーン攻撃に備えるTPRM|第三者リスク管理の体制構築をご覧ください。
関連する攻撃手法
質問票で確認すべきセキュリティ対策に関連する攻撃手法について紹介します。
- サプライチェーン攻撃
- 取引先のセキュリティ脆弱性を突いた攻撃全般。質問票では、再委託管理、パッチ管理、アクセス制御などの項目で対策状況を確認します。
- ランサムウェア
- データを暗号化して身代金を要求する攻撃。質問票では、バックアップの実施状況、復旧手順の整備、マルウェア対策などを確認します。
- フィッシング詐欺
- 偽のメールやWebサイトで認証情報を窃取する攻撃。質問票では、従業員教育の実施、多要素認証の導入、メールセキュリティ対策などを確認します。
- 不正アクセス
- 正当な権限なくシステムに侵入する攻撃。質問票では、アクセス制御、認証強化、ログ監視などの項目を確認します。
- マルウェア感染
- 悪意のあるソフトウェアによる攻撃。質問票では、マルウェア対策ソフトの導入、定義ファイルの更新、不審なソフトウェアの監視などを確認します。
- 情報漏洩
- 機密情報や個人情報の外部流出。質問票では、情報の分類・管理、アクセス制御、暗号化、廃棄処理などを確認します。
- ソーシャルエンジニアリング
- 人の心理を操作して情報を窃取する攻撃。質問票では、従業員のセキュリティ意識向上教育、インシデント報告体制などを確認します。
よくある質問
- Q: 質問票の回答に時間がかかる場合は?
- A: 質問票の回答には通常2〜4週間程度の期間を設けることが一般的です。取引先の規模や質問票のボリュームによって調整してください。期限内に回答が得られない場合は、催促を行いますが、一定期間を過ぎても回答がない場合は、リスクが高いとみなして取引条件の見直しを検討することもあります。回答負担を軽減するため、重要な項目に絞った簡易版を用意することも有効です。
- Q: 回答内容の真偽をどう確認しますか?
- A: 質問票の回答だけでは実態を完全に確認できないため、以下の方法で補完します。(1)証跡の添付を求める(認証書、ポリシー文書など)、(2)リスクの高い取引先には実地監査を実施、(3)第三者評価サービス(BitSightなど)の情報と照合、(4)過去の回答との整合性を確認。すべての取引先を詳細に検証することは困難なため、リスクベースで優先順位をつけて確認します。
- Q: 小規模な取引先にも同じ質問票を使うべきですか?
- A: 小規模な取引先に大企業向けの詳細な質問票を送ると、回答負担が大きくなり、形式的な回答にとどまるリスクがあります。取引金額やリスクレベルに応じて、質問票を簡易版と詳細版に分けることをお勧めします。簡易版は必須項目のみ(10〜20問程度)とし、詳細版は重要取引先向けに使用します。ただし、機密情報へのアクセスがある取引先には、規模に関わらず詳細な確認が必要です。
- Q: 質問票の結果を取引継続の判断に使えますか?
- A: 質問票の結果は、取引継続の判断材料の一つとして活用できます。ただし、質問票だけで取引停止を判断するのではなく、以下を考慮してください。(1)改善の余地があるか(改善計画の提出を求める)、(2)代替の取引先があるか、(3)取引の重要性と代替不可能性。取引停止は最終手段とし、まずは改善を求め、支援を行うことが望ましいです。契約書に質問票への回答義務と評価基準を明記しておくと、判断の根拠になります。
- Q: 質問票は何年ごとに更新すべきですか?
- A: 質問票の内容は、1〜2年ごとに見直すことをお勧めします。サイバー攻撃の手法は進化しており、新たな脅威(例:AI悪用攻撃、新種のランサムウェアなど)に対応した質問を追加する必要があります。また、業界ガイドラインの改訂や法令の変更にも対応してください。ただし、頻繁な変更は取引先の負担になるため、バランスを考慮してください。
まとめ
サプライチェーン攻撃対策のためのセキュリティ質問票について、要点をまとめます。
- 質問票の目的:取引先のセキュリティ状況を効率的に把握し、リスクを評価する
- 含めるべき項目:組織体制、技術対策、運用管理、インシデント対応、認証取得、再委託管理など
- 質問形式の工夫:Yes/No、選択式、記述式を組み合わせ、評価しやすく回答しやすい設計に
- スコアリングと評価基準:回答を点数化し、合格ライン・要改善ラインを明確に設定
- 業界標準の活用:SIG、CAIQ、自工会チェックシートなど、標準質問票を活用して効率化
- 運用の効率化:ツール活用、第三者評価の活用、定型回答の再利用で工数削減
- 中小企業の視点:回答側の立場も理解し、正直な回答を促す
質問票を継続的に活用するためのTPRM体制については、サプライチェーン攻撃に備えるTPRM|第三者リスク管理の体制構築をご覧ください。
取引先管理カテゴリの全体像については、サプライチェーン攻撃の取引先管理|サプライヤー評価・契約・TPRMを解説をご覧ください。また、サプライチェーン攻撃の総合ガイドはサプライチェーン攻撃とは|仕組み・事例・対策を初心者にもわかりやすく解説【2025年版】をご覧ください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
更新履歴
- 初稿公開
