Assured企業評価のセキュリティ調査にご協力いただきありがとうございます。セキュリティ調査へ回答する際の注意点についてご説明します。
目次:
1. ご回答内容について
回答が必要な設問は約80問程度となります。ただし、一部設問については後述3.の「環境アンケート」の結果により、回答対象外になる場合があります。
2. ご回答いただく際の考え方
<回答の階層と回答内容イメージ>
調査へのご回答の際は、評価対象の業務共通(例:受託開発、特定サービスの保守運用、パッケージされた支援サービス等)に適用される固有のルールや体制、ツールの状況等を元にご回答ください。調査のご依頼企業様との取引・契約において、特別に実施されている対策や利用されている専用環境などがある場合は、別途補足する形でご記載をお願いいたします。
また、設問OR-1の「企業としての情報セキュリティの基本方針や規程類」のように、設問の意図から明らかに「全社」の内容を伺うものもございます。その場合は、設問の意図に沿ってご回答いただけますと幸いです。
3. 環境アンケート部分(SM-5〜7)の回答について
SM-5、SM-6、SM-7の3項目は、調査対象業務の遂行環境における、貴社の責任範囲を確認するための「環境アンケート」です。
本設問の回答に基づき、一部後続設問の回答要否が決定しますので、後述の「選択肢の判断基準」を元に回答いただくようお願いいたします。
なお、双方の環境を利用する場合、後続の設問では貴社の責任範囲におけるセキュリティ対策状況を回答してください。
| 設問 | 選択肢 | 回答が必要になる後続設問 |
| SM-5 (場所) |
①取引元がセキュリティにおける責任を負う拠点のみで業務を行う | - |
|
②回答事業者がセキュリティにおける責任を負う拠点のみで業務を行う または ③取引元と回答事業者の双方の拠点を利用して業務を行う |
OA-5, OA-9, OA-10, PH-1 ※1 |
|
| SM-6 (端末) |
①取引元がセキュリティにおける責任を負う端末のみで業務を行う | - |
|
②回答事業者がセキュリティにおける責任を負う端末のみで業務を行う または ③取引元と回答事業者の双方の端末を利用して業務を行う |
OA-1〜4, OA-6〜8 ※1 |
|
| SM-7 (システム環境) |
①取引元がセキュリティにおける責任を負うシステム環境のみで業務を行う | AC-10〜15 |
| ②回答事業者がセキュリティにおける責任を負うシステム環境のみで業務を行う | AC-1〜9, PH-2〜5, OP-1〜7, MN-1, NW-1〜6, SY-1, SY-2, BC-1, BC-2 ※1 |
|
| ③取引元と回答事業者の双方のシステム環境を利用して業務を行う | ①+②※1 |
※1: 調査対象業務の遂行において複数種類の場所/端末/システムを利用している場合は、共通して対応・実施している選択肢のみご選択ください。
選択肢の判断基準
【SM-5:場所】
①取引元管理下の場所で業務が完結する場合(例:取引元拠点への常駐)
⇒「取引元がセキュリティにおける責任を負う拠点のみで業務を行う」を選択してください。
②取引元管理下の場所「以外」で業務が完結する場合
⇒「回答事業者がセキュリティにおける責任を負う拠点のみで業務を行う」を選択してください。
<例:貴社がセキュリティにおける責任を負う場所>
- 貴社自身が直接管理する拠点
- 貴社のグループ会社、外部委託先等が管理する拠点
- 貴社や貴社グループの規程に基づくリモートワークや在宅勤務環境
③取引元管理下の場所およびその他の場所での業務が発生する場合
⇒「取引元と回答事業者の双方の拠点を利用して業務を行う」を選択してください。
【SM-6:端末】
①取引元が管理する端末で業務が完結する場合(例:取引元からの貸与端末)
⇒「取引元がセキュリティにおける責任を負う端末のみで業務を行う」を選択してください。
②取引元が管理する端末「以外」で業務が完結する場合
⇒「回答事業者がセキュリティにおける責任を負う端末のみで業務を行う」を選択してください。
<例:貴社がセキュリティにおける責任を負う端末>
- 貴社自身が直接管理する端末
- 貴社のグループ会社、外部委託先等が管理する端末
- 貴社従業員の私用端末(BYOD)
③取引元管理の端末およびその他の端末での業務が発生する場合
⇒「取引元と回答事業者の双方の端末を利用して業務を行う」を選択してください。
💡 端末には、PCやスマートフォン等の物理端末だけでなく、仮想デスクトップ(VDI)も含まれます。
【SM-7:システム環境】
①取引元が管理するシステム環境で業務が完結する場合
⇒「取引元がセキュリティにおける責任を負うシステム環境のみで業務を行う」を選択してください。
②取引元が管理するシステム環境「以外」で業務が完結する場合
⇒「回答事業者がセキュリティにおける責任を負うシステム環境のみで業務を行う」を選択してください。
<例:貴社がセキュリティにおける責任を負うシステム環境>
- 貴社自身が直接管理するシステム環境
- 貴社のグループ会社、外部委託先等が管理するシステム環境
③取引元管理のシステム環境およびその他のシステム環境での業務が発生する場合
⇒「取引元と回答事業者の双方のシステム環境を利用して業務を行う」を選択してください。
💡 システム環境(アプリケーション、サーバ、ネットワーク等)とは、業務情報(※2)を保管または処理するシステム環境を指します。
※2: 調査対象業務において依頼元企業様から提供または預託された情報や当該業務において作成する情報を指します。
<例:システム環境の調査スコープ判定>
- 調査スコープとなるシステム環境:業務アプリケーション(自社開発、パッケージ、SaaS等)、ファイル保管・共有ツール(ファイルサーバ、クラウドストレージ等)、コミュニケーションツール(メールサーバ、チャットツール等)
- 調査スコープ外のシステム環境:業務情報を一切扱わないシステムやツール、貴社が開発・提供する製品またはシステム自体(※3)、工場や倉庫等の制御システム(OT/IoT環境)
※3: 原則として、貴社が開発・提供する製品またはシステム自体は調査スコープ外となります。ただし、当該製品またはシステムを貴社自身が「業務ツール」として利用して調査対象業務を遂行している場合はこれらも調査スコープとなります。
4. 案件特性に応じた留意事項
【開発を伴う案件について】
該当案件の遂行に伴い、業務上利用するシステムが回答対象となります。開発・納品されるシステム自体は対象外となります。
5. 回答画面の操作方法
回答画面では、設問に対して該当する選択肢をクリックして選択し、「回答」ボタンをクリックすることで回答が完了します。なお、一部補足の記載が必須の場合もございます。
6. すべての回答が終わったら
すべての設問への回答後、回答画面左上の「回答レビューを依頼」からAssured事務局へのレビューをご依頼ください。Assured事務局による回答のレビューが完了次第、調査が完了となります。
💡 「回答レビューを依頼」が活性化しない場合は、回答レビューを依頼が活性化しないをご参照ください。
7. 具体的な回答例
公開情報に基づく回答については、掲載元も合わせてご記載ください
個人情報保護方針や利用規約などの公開情報が存在する場合、そのリンクも合わせてご記載ください。
✅ 良い例
設問:個人情報を利用しますか(補足に利用目的を記載のこと)
回答:はい
補足:
(1)当社運営の各種サービスの利用
(2)イベント・セミナー等のご案内
https://example.com/privacypolicy
❌ 悪い例
設問:個人情報を利用しますか(補足に利用目的を記載のこと)
回答:はい
補足:
(1)当社運営の各種サービスの利用
(2)イベント・セミナー等のご案内
セキュリティ対策を実施している項目について詳細を「非公開」とする場合、補足にてその旨ご記載ください
セキュリティ対策をしているのに回答が「非公開」となる場合、セキュリティ評価として「実施していない」と同じ評価でスコアが算出されてしまいます。対策がされている場合、選択肢としては「はい/実施している」を選択のうえ、補足にて詳細非公開の旨ご記載ください。
✅ 良い例
設問:データのバックアップを取得していますか(補足に頻度を記載のこと)
回答:はい
補足:取得しているが頻度は非公開
❌ 悪い例
設問:データのバックアップを取得していますか(補足に頻度を記載のこと)
回答:非公開
補足:取得しているが頻度は非公開