｢国立国会図書館｣開発中のシステムにサイバー攻撃､再委託先から侵入…情報漏洩の責任はどこに？"根本的な解決策"として注目の★評価制度

★3を必須基準として、最低限実装すべきセキュリティ対策を定義し、それを実施運用していることで称号を得られる仕組みとしている。現在、★3、★4を中心にその構築が議論され、それらの評価を担保する方法、実施体制については現在審議中である。まもなく制度案が公開される予定である。

今回の国会図書館の事案は、この制度の必要性を強く裏づけるものだ。「委託先が安全と言える根拠」を社会全体で共有できる仕組みがなければ、同じような間接侵入事件は今後も続くだろう。

サプライチェーンという“見えない境界”をどう守るか

国会図書館の事案は、単なる情報漏洩の問題ではない。「自社だけを守っても、サプライチェーンの弱点から攻撃されれば被害は避けられない」という現実を再び突きつけた。公共機関、大学、自治体、企業等、すべての組織はサプライチェーンの一部であり、単独で安全を確保することはできない。

その意味で、今回の事件は「委託先を含むセキュリティ統制」の重要性を可視化した出来事であり、日本社会全体のサイバー防衛の転換点になるべきだ。

委託先の評価制度の確立、契約段階での管理基準の厳格化、再委託先まで含めた監査、そして利用者データの取り扱いにおける透明性等、求められる対策は多い。しかし、どれか1つでも欠ければ同じことが繰り返される。

サプライチェーン全体を守るという視点こそ、これからの情報社会における最大の防御線である。今回の国会図書館の不正アクセスは、そのことを私たちに強く訴えかけている。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。