2025年11月26日報道 国会図書館が開発中のシステムに開発委託先の下請企業経由で不正アクセス、サプライチェーン型事例は過去にもトヨタなどで発生、経産省は対策評価制度構築中

2025年11月26日6時0分にYAHOOニュース（東洋経済オンライン）から、下記趣旨の記事がネット配信されていた。

2025年11月11日、国立国会図書館は「開発中のシステムに不正アクセスが発生した」と公表した。

外部からの侵入によって、サーバ構成情報や利用者情報の一部が漏洩した可能性があるという。

 【★評価制度について】経産省「セキュリティ評価制度」の考え方

 

■再委託先の被害でも「責任は発注元にも及ぶ」 　

だが、この事件の核心は、国会図書館そのものが攻撃されたわけではない点にある。 　

攻撃されたのは、館内システムのリプレイス業務を請け負うI社でもない。

さらにその下請けにあたるシステム開発企業、S社のサーバが直接標的となった。

つまり今回の事件は、「国会図書館→IＮ社→S社」という委託構造の「最も末端」に侵入され、その影響が発注元である国会図書館にまで波及した、典型的なサプライチェーン型の不正アクセスである。 　

国会図書館、IＮ社、S社はいずれも声明を発表したが、攻撃の手口や侵入経路などの詳細は明らかにされていない。

しかし、国会図書館の利用者情報の一部が開発用データとしてS社側に保存されていた可能性は十分に考えられるということで、それこそが今回の問題の本質を示している。

S社のサーバが侵害されたのであれば、一次的な技術的責任は同社にある。

だが、それだけでは問題の全体像を説明できない。

本件が象徴するのは、「情報を扱う最終責任は発注元にある」という現代の情報管理の大原則である。 　

国会図書館は、リプレイス業務の契約段階で、IＮ社および再委託先であるS社のセキュリティ管理をどこまで審査し、どれだけ厳格な基準を課していたのか。

また、開発テストのために既存利用者データの一部を提供していた可能性が高いが、その際に「本当に第三者提供が必要だったのか」、「提供する根拠は十分か」、「利用者への説明は適切だったのか」も問われる。

委託先が個人情報を取り扱う場合、発注元は管理体制を直接把握し、評価し、改善を求める義務がある。

形式的な契約書だけでは不十分であり、実際の運用が伴わなければ意味をなさない。

今回のように、最も守りが弱い箇所から攻撃されるのは、サイバー攻撃の常套手段である。

 

■「委託先経由」の事故、IS社の教訓は生かされたか 　

今回の国会図書館の事案は、近年相次いで発生した委託先経由の情報流出事件と構造がよく似ている。

2024年には印刷・発送業務を担うIS社がランサムウェア攻撃を受け、数十自治体・企業の個人情報が大量に流出した。

この事件で明らかになった問題は、ＩＳ社自身の管理の甘さにとどまらない。

真に深刻だったのは、数千の委託元組織が「委託先であるＩＳ社のセキュリティ水準を評価していなかった」という事実である。 　

契約上のセキュリティ条項が存在していても、それが実際に運用されているかを確認しなければ意味がない。

ＩＳ社の教訓は「委託先の評価を怠れば、自組織も被害者になる」ということだった。

しかし今回の国会図書館の事案を見る限り、その教訓が十分に生かされたとは言いがたい。

委託先の脆弱性が全体の停止につながった例として、2022年のトヨタ自動車の事案は象徴的だ。

トヨタの取引先であるＫ社がサイバー攻撃を受けたことで、トヨタの国内14工場が丸1日停止した。 　

原因は「直接取引のある約8,000社のうちの1社」が攻撃されたにすぎない。

この経験を経て、トヨタは主だった取引企業に専門スタッフを派遣し、社員教育、システム点検、セキュリティ指導を徹底する体制に転換した。

自組織だけで対策を強化しても不十分で、サプライチェーン全体の底上げなしには安全が確保できないという事実を痛感したからである。

国会図書館の事案は、この構造と完全に重なる。

公共機関のセキュリティがどれほど堅牢でも、委託先や再委託先の脆弱性が攻撃されれば、同じ規模の被害を受ける。

これは官民問わず、あらゆる組織が直面するリスクだ。 　

国会図書館の事案と時期を同じくして、東海大学でも委託企業のサーバがランサムウェアに感染し、学生や教職員の個人情報が漏洩した可能性が高いと発表された。 　

東海大学は今年4月にもランサムウェア被害を受けており、学内システムが数カ月にわたり停止したばかりである。

つまり、大学側は自組織への対策を強化したはずだが、委託先の対策までは十分に踏み込めていなかった可能性がある。

これも「自組織を強化しても、サプライチェーン全体の弱点が突かれれば意味がない」という典型例だ。

 

■経産省「セキュリティ評価制度」の構築を急ぐ理由 　

では、発注元はどのようにして委託先のセキュリティを評価すればよいのか。

説明だけで判断するには限界があり、実地確認を行うには膨大なコストがかかる。

特に中小企業が相手の場合、保有するリソースもまちまちで、評価の基準が曖昧になりやすい。 　

この問題に対応するため、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築を進めている。

★(ほし)3、★4、★5の3段階で企業のセキュリティ水準を評価する制度であり、2025年度中の正式発表、2026年度の本格運用を目指して議論が続いている。

★3を必須基準として、最低限実装すべきセキュリティ対策を定義し、それを実施運用していることで称号を得られる仕組みとしている。

現在、★3、★4を中心にその構築が議論され、それらの評価を担保する方法、実施体制については現在審議中である。

まもなく制度案が公開される予定である。 　

今回の国会図書館の事案は、この制度の必要性を強く裏づけるものだ。

「委託先が安全と言える根拠」を社会全体で共有できる仕組みがなければ、同じような間接侵入事件は今後も続くだろう。

 

■サプライチェーンという“見えない境界”をどう守るか 　

国会図書館の事案は、単なる情報漏洩の問題ではない。

「自社だけを守っても、サプライチェーンの弱点から攻撃されれば被害は避けられない」という現実を再び突きつけた。

公共機関、大学、自治体、企業等、すべての組織はサプライチェーンの一部であり、単独で安全を確保することはできない。 　

その意味で、今回の事件は「委託先を含むセキュリティ統制」の重要性を可視化した出来事であり、日本社会全体のサイバー防衛の転換点になるべきだ。

委託先の評価制度の確立、契約段階での管理基準の厳格化、再委託先まで含めた監査、そして利用者データの取り扱いにおける透明性等、求められる対策は多い。

しかし、どれか1つでも欠ければ同じことが繰り返される。 　

サプライチェーン全体を守るという視点こそ、これからの情報社会における最大の防御線である。

今回の国会図書館の不正アクセスは、そのことを私たちに強く訴えかけている。

https://news.yahoo.co.jp/articles/8e1107dcf56e7d222f9c95a982baefd91400d328

 

 

2025/12/04 (Thu) 【情報管理不備】　ﾊﾟｿｺﾝ・ﾒｰﾙ等 Comment(0)