#982 JICA の再委託先 ジェイマックソフトのサーバに不正アクセス、漏えいの可能性は極めて低い

今回のニュースは、組織におけるサプライチェーン管理の難しさと、その重要性を改めて考えさせられる事例です。
システム開発を外部に委託することは一般的ですが、その委託先がさらに別の企業へ業務を依頼する「再委託」という構造の中で、セキュリティインシデントが発生しました。
直接契約をしていない再委託先のサーバーが不正アクセスを受けた場合、発注元の組織はどのように状況を把握し、責任を果たすべきなのでしょうか。
今日は、独立行政法人で発生した再委託先への不正アクセス事例をもとに、情報漏えいのリスク判断や、委託先管理の在り方について、詳しく解説していきます。

今回のインシデントは、JICAが運営する派遣システムの開発業務に関わっていた、再委託先のシステム開発会社のサーバーで発生しました。
具体的には、JICAから業務を委託された大手ITサービス企業が、さらに別のソフトウェア開発会社に業務を再委託しており、その再委託先のサーバーに対して第三者からの不正アクセスが確認されたのです。
このサーバーには、JICAの事業で海外へ派遣された専門家や調査団などの個人情報が格納されていました。
しかし、委託元の企業による詳細な調査の結果、現時点では情報の外部への持ち出しを示す操作ログなどは確認されていません。
そのため、個人情報が漏えいした可能性は極めて低いと判断されていますが、JICAでは念のため、関係者への連絡を進めるとしています。

これは業務委託の連鎖のことですね。
例えば、JICAがあるシステム会社に「システムを作ってください」とお願いします。
これを受けた会社が、自分たちだけでは手が足りない場合などに、さらに別の開発会社に「この部分をお願いします」と業務を依頼することがあります。
この二番目の依頼先のことを「再委託先」と呼びます。
セキュリティの世界では、このように業務が連なる構造を「サプライチェーン」と呼び、どこか一箇所でも弱点があると、そこから情報が漏れるリスクがあるため、管理が非常に難しいポイントとされています。

一般的にこうした不正アクセスは、サーバーの動きを監視しているシステムが異常を検知することで発覚します。
例えば、普段はアクセスしない時間帯に操作があったり、許可されていない場所からの接続があったりした場合ですね。
今回のケースでも、再委託先のサーバーに対して、外部の第三者からの不審な通信や接続の痕跡が見つかったことで、不正アクセスが判明したと考えられます。
その後、すぐに詳細な調査が行われ、何が起きたのかを確認するフェーズに入ったという流れになります。

これはデジタルフォレンジックと呼ばれる詳細な調査によって判断されます。
サーバーには、いつ、誰が、どのファイルを開いたか、あるいは外部にデータを送信したか、といった操作の記録、つまりログが残っています。
調査担当者はこのログを隅々まで分析し、「データを外部へコピーするコマンドが実行されたか」や「大量のデータ送信が発生したか」などを確認します。
今回は、そういった情報を持ち出すような具体的な操作の記録が見つからなかったため、漏えいの可能性は低いと結論付けられました。

非常に重要な視点ですね。
発注元としては、直接契約する委託先に対して、「再委託をする場合は事前に承認を得ること」や「再委託先にも同等のセキュリティ対策を義務付けること」を契約で定める必要があります。
また、単に任せるだけでなく、定期的にセキュリティ状況の監査を行ったり、チェックリストを提出させたりして、管理が行き届いているかを確認することも大切です。
自分の目の届かない場所でデータが扱われるからこそ、より厳格なルール作りと監視が求められるのです。

自社の情報は自社だけで守るものではない、という意識を持つことですね。
取引先や委託先を含めたサプライチェーン全体が、ひとつのセキュリティ境界線であると考える必要があります。
たとえ自社のセキュリティが完璧でも、データを預けた先が攻撃を受ければ、それは自社の事故と同じ結果を招きます。
ですので、委託先を選ぶ際にはセキュリティ能力をしっかり評価すること、そして契約後も継続的に対策状況を確認し合う関係を築くことが、長期的なリスク低減につながります。