｢国立国会図書館｣開発中のシステムにサイバー攻撃､再委託先から侵入…情報漏洩の責任はどこに？"根本的な解決策"として注目の★評価制度

委託先の脆弱性が全体の停止につながった例として、2022年のトヨタ自動車の事案は象徴的だ。トヨタの取引先である小島プレス工業がサイバー攻撃を受けたことで、トヨタの国内14工場が丸1日停止した。

原因は「直接取引のある約8,000社のうちの1社」が攻撃されたにすぎない。この経験を経て、トヨタは主だった取引企業に専門スタッフを派遣し、社員教育、システム点検、セキュリティ指導を徹底する体制に転換した。自組織だけで対策を強化しても不十分で、サプライチェーン全体の底上げなしには安全が確保できないという事実を痛感したからである。

国会図書館の事案は、この構造と完全に重なる。公共機関のセキュリティがどれほど堅牢でも、委託先や再委託先の脆弱性が攻撃されれば、同じ規模の被害を受ける。これは官民問わずあらゆる組織が直面するリスクだ。

国会図書館の事案と時期を同じくして、東海大学でも委託企業のサーバがランサムウェアに感染し、学生や教職員の個人情報が漏洩した可能性が高いと発表された。

東海大学は、今年4月にもランサムウェア被害を受けており、学内システムが数カ月にわたり停止したばかりである。つまり、大学側は自組織への対策を強化したはずだが、委託先の対策までは十分に踏み込めていなかった可能性がある。これも「自組織を強化しても、サプライチェーン全体の弱点が突かれれば意味がない」という典型例だ。

経産省「セキュリティ評価制度」の構築を急ぐ理由

では、発注元はどのようにして委託先のセキュリティを評価すればよいのか。説明だけで判断するには限界があり、実地確認を行うには膨大なコストがかかる。特に中小企業が相手の場合、保有するリソースもまちまちで、評価の基準が曖昧になりやすい。

この問題に対応するため、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築を進めている。★（ほし）3、★4、★5の3段階で企業のセキュリティ水準を評価する制度であり、2025年度中の正式発表、2026年度の本格運用を目指して議論が続いている。