自社以外に、自社の情報資産にダメージを与えうる事業者が入れば、供給者として洗い出しましょう。
関連記事:
よくある供給者
自社のリソースで実現していること以外は、全て供給者として洗い出せる可能性があります。特に昨今は様々なクラウドサービスを利用しているケースが多く、以下は一例のみ記載しています。
士業
- 社労士、税理士、会計士、弁護士、行政書士 など
開発委託、業務委託
- ソフトウェア開発業者、Webサイト運営代行業者 など
- BPO業者、名刺印刷業者、人材情報サービス(マイナビ、リクナビなど) など
クラウドサービス
- Google(GCP、G Suite etc)
- AWS(EC2、S3 etc)
- Microsoft(Office365、SharePoint etc)
- クラウドストレージ(Box、Dropbox etc)
- 業務ツール(Salesforce、Zendesk、freee、SmartHR、クラウドサイン、Sansan etc)
忘れがちな供給者
ビル管理や廃棄清掃業者も供給者の対象です。以下のような業者も、供給者に含まれる可能性があります。
- コワーキングスペースの貸主 自社のスペースにアクセスし、情報を閲覧できるのであれば、供給者として認識します
- オフィスの清掃業者 自社のオフィスにアクセスし、情報を閲覧できるのであれば、供給者として認識します
個人事業主
個人事業主であっても、上記同様に供給者の対象となります。モニタリングを実施する際は、例えばIPA「5分でできる!情報セキュリティ自社診断」から、法人特有の内容を除いて確認されるのも方法の一つです(情報機器のセキュリティ状態や、重要な情報へのアクセス制御、基本的な感染対策や情報漏洩に対するリテラシーは最低限確認されることをお勧めします)