これから学ぶ人も、資格取得を目指す人も、最適なカリキュラムを選べます。
これから学ぶ人も、資格取得を目指す人も、最適なカリキュラムを選べます。
CTC 教育サービス
[IT研修]注目キーワード Python Power Platform 最新技術動向 生成AI Docker Kubernetes
このコラムでは、「Webガバナンス」をテーマに様々な切り口で、突っ込んだ内容までお届けしてみたいと思います。
Webサイトの制作や運用を外部のベンダーに委託している企業は少なくありません。デザインからコーディング、保守まで「一式お任せ」にしているケースも多いでしょう。しかし、そこには見落とされがちなポイントがあります。
「万が一、情報漏洩や不正アクセスの被害が発生した際に、法的・社会的な責任を負うのは外注先ではなく、発注者である自社である」ということを、正しく理解できている企業はどれほどあるでしょうか。今回は、Webガバナンスの観点から「発注者責任」と、今すぐ取り組むべき対策を整理します。
「あのサイトはA社に任せてあるから大丈夫」「保守契約を結んでいるので、セキュリティも含めて対応してもらっている」
こうした言葉を、社内の会議で一度は耳にしたことがある方も多いのではないでしょうか。しかし、この「安心感」こそが、Webガバナンスにおける最大の盲点になっているケースがあることをご存知でしょうか。
Webサイトをベンダーに発注し、納品後に保守契約を結んでいるというのは、一見、問題のない体制に見えます。しかし現実には、「何をどこまで保守してもらっているか」を正確に把握できていない担当者が大多数です。
そういった場合に、保守契約の内容を確認してみると、「サーバー監視のみで障害対応は別」「障害対応のみで他の対応は別」であり、脆弱性診断やセキュリティパッチの適用は対象外だった、というケースは珍しくありません。
実際、2025年には委託先を経由したセキュリティインシデントが相次ぎました。日産自動車では、顧客管理システムの開発を委託していた企業のサーバーから情報が流出したことは記憶に新しいものです(※1)。
その他にも、ランサムウェア攻撃による被害も多く報道されました。「外注先が攻撃された」という状況であっても、発注側企業が社会的な説明責任を問われる構図は、もはやどの企業であっても例外ではありません(※2)。
では、「発注者責任」とはどういう概念なのでしょうか。Webガバナンスの考え方から整理してみます。
Webガバナンスにおける考え方として、「Webセキュリティの責任の主体は発注者にある」というものがあります。たとえ制作・運用をすべて外注していても、情報漏えいや不正アクセスが起きた際に法的・社会的な責任を問われるのは、まず発注側である自社です。個人情報保護法では法人への罰則として最大1億円の刑事罰が、GDPRでは最大2,000万ユーロ(約30億円)または年間売上高の4%という制裁金が科される可能性があります。「外注先に任せているから大丈夫」という認識は、法的に通用しない状況にあることは忘れてはいけません。
(※1)https://www3.nissan.co.jp/siteinfo/information_251205.html
(※2)https://www.lanscope.jp/blogs/cyber_attack_pfs_blog/20251022_29693/
では、外注先任せを脱するためには、何から手をつければよいのでしょうか。
Webガバナンスのセキュリティを自社で管理可能な状態にするための、具体的な手順と方法を見ていきます。
まず取り組むべきは、「どこからどこまでがベンダーの責任で、どこから先が自社の責任か」という責任分界点の明文化です。契約段階でセキュリティ基準(脆弱性診断の実施、アップデート管理など)を明文化し、納品後も保守体制を含めたガバナンスを継続することが重要です。
そのためには、制作契約や保守契約の中に「セキュリティ要件」の項目を明示的に設けることが第一歩です。「脆弱性診断は誰が実施するか」「ソフトウェアのバージョンアップ対応はベンダー側か自社側か」「インシデント発生時の連絡体制はどうなっているか」といった点を、曖昧なままにしておかないことが求められます。
さらに、子会社や関連企業に対してもWebガバナンスのルールやガイドラインを展開し、グループ全体として一貫したセキュリティ体制を構築することも欠かせません。
責任分界点を明文化した後は、発注者として最低限実施すべきセキュリティ確認の手順を組織に根付かせることが重要です。
具体的には、定期的に外注先から脆弱性診断の結果レポートを受領し、内容を確認・承認するプロセスを社内に設けることなどがあります。また、納品・リリースの検収時には、セキュリティチェックリストをもとに確認する体制を整えることや、年に一度は、保守契約の範囲と実際の対応内容に乖離が生じていないかを棚卸しするタイミングを設けることが有効です。こうした「発注者としての確認行動」を継続的に回すことが、Webガバナンスの実践そのものと言えます。
外注先を正しく評価し、こうした確認を自社主導で進めるためには、発注者自身がWebセキュリティの基本を理解していることが前提になります。
セキュリティの専門知識を持たないまま外注先と向き合うと、提案された対策が適切かどうかを判断する基準がありません。「WAF(Web Application Firewall=Webへの攻撃を検知・遮断するセキュリティシステム)を導入すれば大丈夫です」と言われても、その妥当性を検証できず、言われるままに承認してしまいます。過剰な投資をしてしまうケースも、逆に重要な対策が抜け落ちるケースも、知識不足が根本原因であることがほとんどです。
2025年のセキュリティインシデント調査では、企業において「約2日に1回」のペースでインシデントが発生し、年間で約2,190万件もの個人情報が流出したことが明らかになっています(※3)。こうした状況の中で、セキュリティを「専門家への丸投げ」に頼り続けることは、もはや経営リスクと言ってもいいかもしれません。
では、発注者として必要なセキュリティ知識はどのように身につければよいのでしょうか。CTC教育サービスでは、Webセキュリティを体系的に学べる複数の研修コースを提供しています。
「ウェブ・セキュリティ基礎」(※4)は、SQLインジェクションやXSS(クロスサイトスクリプティング=悪意あるスクリプトをWebページに埋め込む攻撃手法)、CSRF(クロスサイトリクエストフォージェリ=利用者を騙して意図しない操作を実行させる攻撃手法)といった主要な攻撃手法と対策を1日で学べるコースです。開発経験がなくても脆弱性の「何が危険なのか」を理解できるため、発注者として外注先の提案を評価する基礎力を習得できます。
さらに「ハッキング:Webアプリケーション」(※5)では、実際に攻撃者の視点を体験することで、「自社サイトのどこが狙われやすいか」を肌感覚で理解できます。外注先への要件定義の精度が格段に上がるはずです。「開発者向けアプリケーションセキュリティの基本」(※6)は、開発を委託する際に発注側として知っておくべきセキュアコーディングの考え方を、事例を通じて学べるコースです。
これらの研修を通じて、「外注先に任せているから安心」という受け身の姿勢から、「発注者として主体的にWebガバナンスを管理できる組織」へと変わることができます。Webサイトの外注は業務効率化の有効な手段ですが、セキュリティの主権まで手放してはいけません。今こそ、外注先との関係を「任せる」から「管理する」へと転換するタイミングです。
(※3)https://www.cscloud.co.jp/news/report/202602108690/
(※4)https://www.school.ctc-g.co.jp/course/WS002.html
(※5)https://www.school.ctc-g.co.jp/course/CD038.html
(※6)https://www.school.ctc-g.co.jp/course/EL187.html
ご興味のある方は、ぜひ各プログラムの詳細をご覧ください。
[IT研修]注目キーワード Python Power Platform 最新技術動向 生成AI Docker Kubernetes
