国立国会図書館で発生した不正アクセス事件の全体像：開発中システムへの攻撃で何が起きたのかを詳しく解説

国立国会図書館で発生した不正アクセス事件の全体像：開発中システムへの攻撃で何が起きたのかを詳しく解説

館内サービスシステム開発中に起きたサイバー攻撃の概要

2025年11月、国立国会図書館（NDL）が進めていた館内サービスシステムのリプレース開発プロジェクトで、不正アクセスによるサイバー攻撃が発生しました。NDLはこの新システムの構築を株式会社インターネットイニシアティブ（IIJ）に委託し、IIJはさらに開発作業の一部を株式会社ソリューション・ワン（以下ソリューション・ワン）に再委託していました。11月5日、ソリューション・ワン社の社内ネットワークに外部からの侵入が確認され、それを起点にIIJが管理する開発環境への不正アクセスが行われたことが明らかになったのです。

今回の攻撃で直接標的となったのはNDLそのものではなく、NDLから業務を委託されていたIIJでもありません。実際に侵入を許したのは、IIJが下請けとしていたソリューション・ワン社でした。つまり「NDL → IIJ → ソリューション・ワン」という委託構造の末端が突破され、結果的に発注元であるNDLにまで影響が及んだ形です。このように、委託先経由で発生し発注元に波及する攻撃はサプライチェーン型の不正アクセスの典型例といえます。

ソリューション・ワン社ネットワーク経由で開発環境が侵害

11月5日（水）夕刻頃、ソリューション・ワン社のネットワークに何者かが不正侵入したことが検知されました。この侵入により、ソリューション・ワン社からIIJが運用する新館内サービスシステムの開発環境へアクセス可能な内部ネットワーク経路が悪用され、実際に開発サーバ群への不正アクセスが行われてしまいました。言い換えれば、下請け企業であるソリューション・ワン社内の業務用ネットワークが踏み台とされ、NDLのシステム開発用インフラに攻撃者が入り込んだことになります。

この攻撃経路が成立した背景には、IIJからソリューション・ワン社に対し、新システム開発の作業環境への接続権限が与えられていたことがあります。ソリューション・ワン社はIIJの再委託先事業者の一社として開発業務に参加しており、IIJ側が用意した開発環境にリモートでアクセスして作業できるネットワーク接続を持っていました。攻撃者はこの経路を逆手に取り、ソリューション・ワン社のネットワーク侵害を起点にNDLの開発システムにまで到達したと推測されます。

発覚と初動対応：11月5日からの緊急措置

ソリューション・ワン社で不正なアクセスが検知された直後、IIJおよびNDLにも速やかに状況が報告されました。各社は被害の拡大を防ぐため緊急対応を開始します。まず、当該開発環境へのアクセス経路を即座に遮断し、攻撃者がそれ以上内部に侵入できないよう封じ込めました。同時に、NDLとIIJは関係各所と協力して詳細な調査を開始し、フォレンジック（デジタル鑑識）専門家の協力のもと侵入の手口や範囲の解明に着手しました。これら初動対応により、11月5日の時点で攻撃の進行は食い止められ、被害の拡散防止策が講じられています。

NDL側でも、インシデントを受けて館内のシステム管理体制を直ちに緊急モードに切り替えました。具体的には、今回の開発環境のみならず国立国会図書館の各種情報環境に対する監視を強化し、他に異常が生じていないか厳重なチェックが行われました。初動の段階で確認された限りでは、NDLの既存サービスや基幹システムには不審なアクセスの痕跡はなく、安全が維持されていることも確認されています。

判明した被害内容：漏えいの可能性がある情報

国立国会図書館の発表によると、今回の不正アクセスにより開発環境上のサーバ構成情報などシステム開発に使用する情報が外部に流出した可能性があります。これには、新システムの設計・設定に関する技術情報（サーバやネットワークの構成、設定ファイル類など）が含まれるとみられ、攻撃者の手に渡った場合、システムの弱点を推測されるリスクがあります。

さらに、一部の利用者情報および利用履歴情報も漏えいした可能性が指摘されました。具体的な内容については後述しますが、開発環境内にテストデータとして保管されていた国会図書館の利用者IDや氏名、館内サービスの利用記録などが含まれていた模様です。これらの個人情報データは本来、製品稼働環境ではなく開発中システム内に存在していたもので、開発工程で使用する目的で複製・提供されていた可能性があります。

既存サービスへの影響と被害の範囲限定

幸いなことに、今回のサイバー攻撃による影響は開発環境に限定されており、国立国会図書館が提供している既存の各種サービス（蔵書検索システムやデジタル資料提供システム等）や情報インフラには直接的な被害は確認されませんでした。これは、開発中のシステムが本番環境と物理的・論理的に分離されており、攻撃者が館内の本番サービスに到達できなかったことを意味します。

NDLは発表の中で「各種サービスや情報基盤への影響は確認されていない」と明言し、利用者に対して現行サービスが通常通り利用可能であることを強調しました。被害を開発環境内に封じ込めたことは不幸中の幸いですが、一方で開発段階のシステム内に実際の利用者データが存在し、それが漏えいし得たという事実は、図書館の情報管理に新たな課題を投げかける結果となりました。

開発中システムが狙われた理由：開発環境の脆弱性というセキュリティ上の盲点を突いた攻撃の背景を詳しく解説

本番環境と比較した開発環境のセキュリティ格差

一般に、大規模システムの開発・テスト環境は、本番運用環境に比べてセキュリティ対策が手薄になりがちです。理由の一つは、開発中の環境は外部に公開されておらず影響範囲が限定的だと捉えられ、厳重な保護がおろそかになりやすい点です。また、迅速な開発やデバッグを優先するあまりアクセス制御やログ監視といった対策が一時的に緩和されるケースもあります。攻撃者はまさにこの「守りが弱い箇所」を見抜いて狙ってくるのです。

本件でも、攻撃者はNDLやIIJの本番システムではなく、比較的ガードの緩い委託先企業内の開発用ネットワークに目を付けました。開発環境だからといって安心し対策を怠れば、そこが思わぬ侵入経路となり得ることを示した例と言えます。現代のサイバー攻撃では、守りの堅牢な正面よりも脆弱性のある周辺部を狙うのが常套手段であり、開発環境はその盲点となりやすいのです。

開発環境における個人情報取り扱いのリスク

今回明らかになった問題点の一つに、開発中のシステム内に実際の利用者データ（個人情報）が含まれていた可能性があることが挙げられます。通常、テストや検証にはダミーデータや匿名化した情報を用いることが推奨されますが、NDLの開発環境には一部の利用者IDや氏名、利用履歴といった本物のデータが保存されていたと考えられます。専門家は「国会図書館の利用者情報の一部が開発用データとしてソリューション・ワン側に保存されていた可能性が高い」と指摘しており、これが今回の問題の本質だと述べています。

開発段階で実データを扱うことには大きなリスクが伴います。万一その環境が侵害されれば、本来守るべき利用者の個人情報が直接漏洩してしまうからです。特に外部委託先にデータを提供する場合、「本当に第三者に提供する必要があるのか」「提供の法的根拠や利用者への説明は十分か」といった点を厳密に検討しなければなりません。この事件は、開発環境での個人情報取り扱いに対する意識の甘さが攻撃に付け入る隙を与えた可能性を示しています。

外部委託開発がもたらす攻撃対象の拡大

システム開発を外部の企業に委託する場合、攻撃対象となり得る範囲が自社以外にも広がることを認識する必要があります。自社内で閉じていれば防げていた脅威も、委託先企業のネットワークや設備が新たな弱点となり得るのです。特に複数の下請け・再委託先が関与するプロジェクトでは、セキュリティレベルの低い企業が一つでも混じれば全体の防御網に穴が空く危険性があります。

今回、攻撃者はIIJではなくその再委託先であるソリューション・ワン社を狙いました。大手企業や官公庁はセキュリティ対策が比較的しっかりしているため、攻撃者はそこに直接攻め込むよりも、周辺の協力企業を踏み台にしようとする傾向があります。外部委託によって自社システムに他社が関わる以上、そのサプライチェーン全体に目を光らせなければならないのです。

攻撃者が開発段階を狙う動機と手口

攻撃者にとって開発段階を狙うことにはいくつかのメリットがあります。まず、開発チームの人員（特に委託先の社員）は本番環境の運用チームほどセキュリティ意識が高くない場合があり、ソーシャルエンジニアリング（人間をだまして機密情報を得る手口）などに引っかかりやすいことが挙げられます。また開発用のVPNやリモートアクセス経路の管理が甘いと、そこから侵入される危険があります。例えば共有アカウントの使い回しや多要素認証の未導入といった隙があれば、攻撃者はそこに付け込んできます。

さらに、開発環境では新しいソフトウェアやツールを試すためセキュリティ更新（パッチ）が遅れたり、試験的にセキュリティ設定を無効化したままにしてしまったりすることもあります。攻撃者はそうした技術的な穴をスキャンして見つけ出し、マルウェアの埋め込みや権限乗っ取りを試みます。要するに、開発段階は安全対策より利便性・速度が優先される場面が多く、そこにつけ込むことで本番環境への橋頭堡を築こうというのが攻撃者の狙いなのです。

過去の事例に見る開発環境攻撃のリスク

開発環境が狙われたサイバー攻撃の事例は、国内外で近年増加傾向にあります。例えば2020年頃から話題になったSolarWinds事件では、米国企業の開発プロセスにマルウェアが仕込まれ、完成したソフトウェアの更新プログラムにバックドアが埋め込まれて多数の顧客に配布されるというサプライチェーン攻撃が発生しました。この事件では開発工程そのものが攻撃の起点となり、被害は全世界の政府機関や企業に及びました。

日本国内でも、システム委託先での開発用サーバが侵入され情報漏洩に繋がった例があります。例えば2024年には、とある大学で学内システムを再委託していた企業の開発サーバがランサムウェアに感染し、学生や教職員の個人情報が流出した可能性が報じられました。この大学は直前にも自組織への攻撃を受け対策を強化していた矢先でしたが、委託先までは手が回っていなかったことが示唆されています。これらの事例は、開発環境や委託先という「盲点」を突かれるリスクが現実に存在することを物語っています。

サプライチェーン攻撃とは何か：委託先・再委託先経由で行われた巧妙な侵入手口の特徴と脅威の全貌を詳しく解説

サプライチェーン攻撃の定義：協力企業を経由して標的に迫る手法

サプライチェーン攻撃とは、本来の標的となる組織ではなく、その取引先や委託先など周辺の企業・団体を経由して間接的に被害を与えるサイバー攻撃手法の総称です。企業は自社のネットワークやシステムに厳重なセキュリティを施していても、取引関係にある他社とのデータ連携やアクセス連鎖を完全に遮断することはできません。攻撃者はその弱点を利用し、まず標的組織と繋がりのある外部企業に攻撃を仕掛け、そこから得たアクセス権や信頼関係を足掛かりに本命の標的へ侵入しようとします。

サプライチェーン攻撃の典型例としては、ソフトウェア開発会社が狙われて正規ソフトにマルウェアを埋め込まれるケース、ハードウェア製造元のファームウェアに不正コードを仕込むケース、あるいは今回のように委託業務を請け負う協力会社のネットワークを踏み台にするケースなどがあります。要は自社よりもガードの甘い取引先を突破口にすることで、最終的なターゲットに被害を与えるのがサプライチェーン攻撃の狙いです。

委託先ネットワークを踏み台にする巧妙な侵入手口

委託先や再委託先を悪用する侵入手口は非常に巧妙です。一例として、攻撃者はまず協力企業のシステム管理者や開発者に対しフィッシングメールを送りつけ、マルウェア感染や認証情報の窃取を図ります。その企業のネットワーク内に足掛かりを得ると、今度は正規の接続経路やVPN、共通の開発プラットフォームなどを利用してターゲット組織に不正アクセスします。外部から見ると委託先企業からの通常のアクセスに見えるため、発注元の監視をすり抜けやすいという利点があります。

今回のNDLのケースでも、ソリューション・ワン社との間に構築されていた開発用アクセス経路が悪用されました。攻撃者にとってみれば、一度委託先企業の内部に侵入してしまえば、あたかも信頼できるパートナーからの通信としてNDL側の開発環境に接近できるわけです。信頼関係の鎖を逆手に取ったこの手口は、発見が遅れると被害が甚大化する恐れがあります。

国会図書館事件に見るサプライチェーン攻撃の典型例

国立国会図書館の不正アクセス事件は、まさにサプライチェーン攻撃の典型例でした。攻撃者は「NDL→IIJ→ソリューション・ワン」という委託の連鎖の最も末端に位置する企業の脆弱性を突き、そこから発注元であるNDLのシステムにまで影響を及ぼしました。NDL自体や主要な委託先（IIJ）のセキュリティは堅牢でも、その下請け企業でガードが緩ければ全体が破られるという構図です。この事件は「自社を直接攻撃するのでなく、周辺のより脆弱な部分を狙う」というサイバー攻撃のセオリーを示すものとなりました。

実際、NDLは自館のサービス基盤には影響が出なかったと発表しましたが、下請け企業が侵害されたことで結果的に4万件を超える利用者情報が漏洩の危機にさらされました。このように、サプライチェーン攻撃では自組織が直接攻撃されなくても、委託先を狙われることで同等の被害を被り得るのです。NDL事件は、官公庁や大企業であっても取引先のセキュリティにほころびがあれば安全ではいられないことを如実に示しています。

近年増加するサプライチェーン攻撃とその背景

サプライチェーン攻撃はここ数年で急速に増加・高度化しており、その背景には企業間のIT連携の深まりと攻撃者の戦略の変化があります。クラウドサービスやアウトソーシングの普及により、一つのサービス提供に多数の企業が関与するのが当たり前になりました。その結果、攻撃対象となり得る入口が増え、全てを堅牢に守ることが難しくなっています。攻撃者側も、直接狙って失敗するより周辺から攻めるほうが効率的だと認識し、標的のエコシステム全体を見渡して弱点を探るアプローチを取るようになりました。

国家規模のスパイ活動や高度な犯罪グループによる攻撃でも、サプライチェーン経由の事例が報告されています。防衛産業やインフラ企業などでは、自社は厳重に守っていても協力企業の中小企業が狙われて機密情報が抜かれるケースがあります。昨今では政府もこの脅威に注目し、サプライチェーン全体のセキュリティ対策強化に乗り出しています。背景には、一社の強化だけでは不十分で、エコシステム全体の底上げなくして安全は確保できないという危機感があります。

被害が拡大する構造：一社の侵害が多くの組織に波及

サプライチェーン攻撃の恐ろしさは、一つの侵害がドミノ倒し的に多くの組織に波及しうる点です。例えば2024年に発生した印刷業者イセトーのランサムウェア被害では、同社が業務を受託していた複数の自治体・企業から大量の個人情報が流出し、影響を受けた委託元組織は40以上にも上りました。この事件では、一企業（イセトー）の被害が数十の公共・民間組織に連鎖的な被害を与える結果となり、サプライチェーン全体のリスクが顕在化しました。

イセトー事件から明らかになったのは、被害企業自身のセキュリティの甘さだけでなく、委託元側の問題です。多くの自治体や企業が「委託先であるイセトーのセキュリティ水準を十分評価していなかった」ことが深刻な教訓となりました。契約でいくらセキュリティ要件を定めていても、それが実際に守られているか確認しなければ意味がないという点が浮き彫りになったのです。このように、一社の侵害が多数組織へ波及する構造は、現代の情報連携社会における大きな課題となっています。

流出した可能性のある情報と影響範囲：漏洩が懸念される個人情報の具体的内容とその影響を詳しく徹底分析・解説

漏えいが疑われる個人情報の内訳

国立国会図書館は11月25日に公表した第2報において、詳細な調査により判明した漏えいの可能性がある個人情報の範囲を明らかにしました。それによれば、漏えいの恐れがある情報は主に次の2カテゴリに大別されます。

一つ目は利用者IDのみの流出で、対象件数は943件です。これは2025年3月15日から3月27日までの間に関西館へ来館した一部の利用者のID情報で、ID番号（利用者アカウント識別子）のみが含まれており、氏名など他の個人情報は含まれていません。

二つ目は電子資料等のプリントアウトサービスの申込情報で、約40,373件に上る大量のデータです。これは2025年9月24日から10月22日までの間に東京本館、関西館、国際子ども図書館のいずれかで電子資料やマイクロ資料のプリントアウト（館内印刷サービス）を利用した方の申込記録です。対象人数は4,360名にのぼり、それぞれの申込者について以下の項目が含まれていました。

• 利用者IDと氏名
• プリントアウト対象資料の情報（資料名、資料掲載URL、NDLデジタルコレクションの資料ID等）
• 印刷に関する情報（用紙サイズ、カラー/モノクロ種別、ページ数）
• 金額（印刷料金）
• 利用目的（調査研究/その他の別、※その他の場合は具体的記述）
• プリントアウトを申し込んだ施設名（東京本館、関西館、国際子ども図書館の別）
• 利用端末の管理番号および設置部屋名
• プリントアウトの申込日時と精算日時

以上のように、印刷サービスの申込に関する細かな記録が丸ごと含まれているため、単なる氏名や連絡先情報だけでなく「誰がどの資料をどの目的で印刷したか」といった行動履歴まで含む点が特徴です。この情報が外部に流出した場合、学術利用とはいえ個々人の関心領域や行動履歴が第三者に知られてしまうリスクがあります。

約4万件に及ぶ利用記録漏えいの衝撃

流出の可能性があるプリントアウト申込情報は件数にして約4万件と非常に大量で、その中に含まれる個人情報も4,360名分と多岐にわたります。国立国会図書館の館内サービス利用者の中には研究者や公務員なども多く含まれると推測され、このような人々の資料閲覧・印刷履歴が漏れることはプライバシーの観点から大きな懸念材料です。

氏名と利用者IDの組み合わせだけでも個人を特定できる情報と言えますが、それに加えてどの資料を印刷したかという行動履歴情報は、その人の研究テーマや興味関心、場合によっては信条や思想と結びつく可能性があります。例えば特定の宗教や医療、政治に関する資料を大量に印刷していたとなれば、外部からその人の内面を推測される恐れもあります。約4万件という膨大な履歴情報が漏洩した可能性は、単なる名簿情報の漏洩以上に深刻な影響を及ぼし得るのです。

利用者IDのみ漏えいしたケースの意味合い

943件の利用者IDのみの漏えいについては、一見すると氏名等が含まれていないため被害は小さいように思われるかもしれません。しかし利用者IDは館内システムで個人を識別するキー情報であり、何らかの形で他の情報と結びつけば個人を特定する手がかりとなり得ます。例えば攻撃者がNDLの他のデータベースや公開情報からIDと名前の対応を見つけ出す可能性はゼロではありません。また943件ものIDリストは、フィッシング詐欺などで「あなたの国会図書館利用登録に問題が発生した」等と装う際のターゲットリストとして悪用される懸念もあります。

もっとも、氏名や連絡先と結びつかなければただの番号列に過ぎないため、現時点でIDのみの漏えいによる直接的な被害は考えにくいとも言えます。国会図書館側も、IDのみが流出した利用者については個別通知の対象とはしていないようです。しかし、いずれにせよ自分の利用者IDが外部に漏れた可能性があると知れば、不安を感じる利用者もいるでしょう。その点で、IDのみの漏えいであっても信頼低下という間接的影響は無視できません。

利用者への影響：プライバシー侵害の懸念とその深刻度

今回漏えいした可能性のある情報には氏名が含まれており、さらに館内でどんな資料を印刷したかという履歴も含まれていました。そのため、情報が悪意ある第三者の手に渡った場合、利用者のプライバシーが侵害されるリスクがあります。特に研究者や学生の場合、閲覧・印刷していた資料の内容から研究テーマが他者に知られてしまうかもしれません。また、公務で図書館を利用していた官公庁職員などの場合、その業務上の関心領域が明らかになる恐れもあります。

さらに悪質なケースでは、漏えい情報を元に利用者へ詐欺や嫌がらせが行われる懸念も考えられます。氏名と図書館利用履歴が揃えば、攻撃者は「国立国会図書館の者です」と装って「◯◯という資料を印刷された件で確認事項があります」などともっともらしい連絡をしてくる可能性があります。利用者IDや印刷日時等も含まれているため、それらを引用されると利用者側も本物と信じてしまう危険があります。こうした二次被害の可能性について、NDLは公式発表で現時点では確認されていないと述べつつも、不審な電話やメールに注意するよう呼びかけています。

現在までの被害状況とNDLの対応策

国立国会図書館は第2報の中で、現在までのところ漏えいした情報がインターネット上で公開されたり悪用された形跡は確認されていないとしています。また、11月25日の発表時点で流出情報の悪用による被害報告も受けていないようです。これは幸いな状況ですが、裏を返せば攻撃者が入手した情報をまだ潜在的に保持している可能性もあり、予断を許しません。

NDLでは、該当する利用者に対して個別に通知を行う方針を示しました。既に登録されている連絡先がある利用者には順次連絡を取っているとのことで、万一自身の情報が漏えいした可能性がある場合には通知が届くことになります。ただし、NDLに最新の連絡先を登録していない利用者には通知のしようがないため、心当たりのある人には図書館のお問い合わせ窓口に連絡するよう呼びかけています。図書館側は被害拡大防止と利用者支援のため、今後もしばらく相談対応窓口を設置し、必要な情報提供とサポートを行っていく予定です。

インシデント発生から公表までの時系列：不正アクセス発覚から情報公開までの経緯を時系列で詳しく振り返る

2025年11月5日：委託先で不正侵入を検知、開発環境への攻撃が判明

2025年11月5日（水）、ソリューション・ワン社のネットワークにおいて外部からの不正なアクセスが発生していることが確認されました。社内システムに侵入された痕跡を検知したソリューション・ワン社は、ただちにIIJおよびNDLに対してインシデント発生の一報を報告したとみられます。IIJ側でも調査の結果、NDL新館内サービスシステムの開発環境に対して不正アクセスが行われた事実を同日中に把握しました。

この時点で、ソリューション・ワン社ならびにIIJでは緊急対策本部が立ち上がり、NDLとも連携しながら被害状況の確認と拡大防止策の実施が開始されました。前述のとおり、発覚当日に開発環境へのネットワーク接続は遮断され、フォレンジック調査が開始されています。

発覚直後（11月5日～10日）：被害範囲調査と関係機関への連絡

11月5日から公表までの数日間、IIJおよびソリューション・ワン社、それにNDLの三者は協力して詳細な調査を進めました。攻撃者がどの経路から侵入し何を行ったのか、サーバのログ解析やマルウェアの有無確認など技術的な分析が集中的に行われたと推測されます。また同時に、NDLは館内および所管の機関への報告、法令に基づく各種届け出の準備など、インシデント対応の社内外調整に追われた期間でもありました。

一般に、日本の官公庁で個人情報漏えいの可能性がある事故が発生した場合、所轄官庁や個人情報保護委員会への報告が義務付けられています。本件でも、NDLは事態を把握した時点で関係当局へ速報的に連絡を入れ、必要な手続きを開始したものとみられます。また11月5日から11日にかけて、図書館内では被害が及んだ可能性のある利用者データの特定作業（どの情報が漏れた可能性があるかの洗い出し）も進められていました。

2025年11月11日：国立国会図書館が不正アクセス発生を公表

インシデント発生から6日後の11月11日、国立国会図書館は公式ウェブサイト上で「開発中のシステムに対する不正アクセスの発生について」と題するお知らせを公開し、今回の事件を初めて公表しました。この発表文でNDLは、開発中の館内サービスシステムが外部からの不正アクセスを受けた事、影響が開発環境内に留まり館内の各種サービスに支障は出ていない事、そして一部の利用者情報等が漏えいした可能性がある事を明らかにしました。

また同日付でNDLは、利用者への謝罪と今後の対応方針も表明しました。「当該開発環境へのアクセスを遮断し、監視を強化している」「引き続き詳細調査と情報漏えいへの適切な対応を行う」といった措置を説明し、利用者に対して多大な迷惑と心配をかけたことを謝罪しています。このNDLからの迅速な公表により、事件の概要が広く報道されることとなりました。

IIJ・ソリューション・ワン社の同日発表と関係各所への通知

NDLの発表と歩調を合わせる形で、委託先であるIIJおよび再委託先のソリューション・ワン社も11月11日付で声明を公表しました。IIJは自社のニュースリリースにおいて「NDLから受託した新館内サービスシステムの開発業務に関し、再委託先であるソリューション・ワン社のネットワークが侵害され開発環境への不正アクセスが確認された」と報告し、NDLおよび関係者に対し深く謝罪するコメントを発表しています。またIIJは、ソリューション・ワン社が自社の採用基準（セキュリティ水準を含む）を満たすことを確認した上で委託していたものの、このような事態に至ったことを重く受け止めると述べました。

ソリューション・ワン社も同日付けで「不正アクセスに関するご報告」を自社Webサイトに掲載し、ネットワークへの侵入と開発環境への不正アクセスが11月5日に確認されたこと、関係者に深く謝罪する旨を表明しました。さらに現時点で開発環境以外への不正アクセスは確認されていないこと、侵入経路や被害範囲の特定を進め再発防止策とセキュリティ強化策を早急に策定・実行する方針であることを説明しています。

これら委託先・再委託先の同時発表により、事件の事実関係が一通り出揃った形となりました。NDLからIIJ、IIJからソリューション・ワン社へという報告ラインもこの時点で確立され、NDLは利用者および関係機関への説明責任を果たすべく動き出しています。

公表後の調査継続と第二報（11月25日）の詳細公開

11月11日の公表後も、NDLとIIJおよびソリューション・ワン社は引き続き詳細な調査を進めました。特に焦点となったのは「具体的にどの利用者情報が漏えいした可能性があるのか」という点で、デジタルフォレンジックやデータ解析によって漏えいの可能性があるデータの特定作業が慎重に行われました。その結果、事件発生から約2週間後の11月25日、NDLは追加情報として第2報を公表し、漏えいの可能性がある個人情報の範囲を詳しく説明しました。

この第2報では前述のとおり、利用者IDのみ943件とプリントアウト申込情報約4万件という具体的な数字と範囲が示されました。あわせて、現時点まで二次被害の確認はないこと、該当する利用者への個別通知を行うこと、不審な連絡に注意するよう利用者に呼びかけることなどが記載されています。第1報発表時点では「一部の利用者情報が漏えいした可能性がある」という概略のみでしたが、第2報で具体的な中身と件数が明らかになったことで、利用者や社会に対してより正確な情報提供がなされました。

今後もNDLは調査結果に応じて追加の情報公開や対応策の発表を行う可能性があります。いずれにせよ、公表から漏えい情報特定までスピーディに対応を進めた点は評価できるでしょう。初動から約2週間で詳細を公表できたのは、関係者の迅速な対処と情報共有が奏功した結果と言えます。

IIJと再委託先企業の役割と責任：主契約者と下請けの責務区分および情報管理上の問題点を徹底検証・考察

契約構造と各社の役割：NDL・IIJ・ソリューション・ワンの関係

まず本件プロジェクトの契約構造を整理すると、国立国会図書館（NDL）が発注者、IIJ（インターネットイニシアティブ）が主たる受託者（一次委託先）、ソリューション・ワン社がIIJから業務を請け負った再委託先（二次委託先）という関係になります。NDLは館内システムのリプレース開発という業務をIIJに一括して委託し、IIJは自社内のリソースだけでなく一部作業を外部企業（ソリューション・ワン社ほか複数社）に再委託することでこの開発を進めていました。

IIJは、日本を代表する大手インターネット関連企業であり、セキュリティやネットワークに強みを持つ企業です。NDLとしては、こうした実績のあるIIJに開発を任せることで、高品質かつ安全なシステム構築を期待していたことでしょう。一方、IIJはプロジェクト全体の進行管理や基本設計・インフラ構築などを担いつつ、詳細設計やプログラミング等の作業を複数の協力企業に委託することで効率化を図っていたと考えられます。ソリューション・ワン社はその協力企業の一つで、アプリケーション開発分野でノウハウを持つ企業として選定され、今回の新システム開発に参画していました。

IIJの責任範囲：主契約者としての管理とセキュリティ監督義務

IIJはNDLとの契約上、プロジェクト全体に対する成果物の責任を負う主契約者です。これは、納品するシステムが要求を満たし品質が保証されるだけでなく、その開発プロセスにおける情報管理やセキュリティ対策についても、一次受託者として責任を負う立場にあることを意味します。IIJは外部事業者を再委託先に採用する際、独自に定めた採用基準（セキュリティ水準を含む）によって選定を行ったと説明しています。ソリューション・ワン社についても、そうした基準に適合することを確認した上で委託先に選んだとされています。

しかし、最終的に再委託先で不正アクセスが発生してしまった以上、IIJには管理監督責任が問われます。IIJ自身、「結果として今回の不正アクセス発生に至ったことを重く受け止めている」と述べ、委託事業者の採用基準におけるセキュリティ水準の厳格化や、委託業務の管理・監督体制の強化を図ることを表明しました。主契約者として、単に委託先を選んだだけでなく、その運用状況を把握しリスクを是正するまで踏み込めていたかが問われており、IIJにとっても大きな課題となっています。

ソリューション・ワン社の責任範囲：再委託先としての義務とセキュリティ対策

ソリューション・ワン社はIIJとの間で結ばれた再委託契約に基づき、NDL新館内サービスシステムの開発業務の一部を実施する責任を負っていました。再委託先とはいえ、業務上NDLのデータ（利用者情報を含む）やシステム資産に触れる立場であり、当然ながら情報の適切な管理と機密保持、セキュリティ確保の義務があります。契約上も、IIJから提示されたセキュリティ要件や運用手順に従う義務が課されていたはずです。

しかし実際には、ソリューション・ワン社内のネットワークに侵入を許し、結果としてNDLのデータが漏えいした可能性を招いてしまいました。技術的に見れば、一次的な原因提供者はソリューション・ワン社であり、直接のセキュリティ上の落ち度は同社にあったと言えます。ネットワークへの侵入経路となった脆弱性や、マルウェア対策の不備、人為的なミスなど、具体的にどのような点に問題があったのかは詳細公表されていません。しかし少なくとも、外部からの攻撃を許してしまった以上、再委託先企業としての情報保護義務を十分に果たせていなかったことは明らかです。

ソリューション・ワン社は発表文で「本件を極めて重大な事案と受け止め、全社を挙げて迅速かつ誠実に対応を進めております」と述べています。現在、同社は外部の専門機関と連携してフォレンジック調査を進めており、侵入経路および被害範囲の特定に努めている最中です。再委託先として、まずは自社のセキュリティホールを早急に洗い出し塞ぐこと、そして委託元であるIIJやNDLに対し真摯に経緯説明と改善策提案を行うことが求められています。

委託元（NDL）の監督責任：情報管理上の最終責任者として

直接の攻撃対象ではなかったとはいえ、発注元であるNDLにも重要な責任があります。それは、外部委託した業務に関連して自館の利用者情報等が漏えいするリスクを適切に管理・監督する責務です。現代の情報管理の大原則として「情報を扱う最終責任は発注元にある」という考え方があります。いくら委託先で事故が起きたとはいえ、その委託を行ったのは自分たちである以上、結果について説明責任を負い、必要な対策を講じる義務があるということです。

NDLはIIJとの契約段階で、再委託先も含めたセキュリティ管理体制についてどこまで審査し、どれだけ厳格な基準を課していたのか問われています。また、開発テストのためにNDL側から既存利用者データの一部をソリューション・ワン社側に提供していた可能性が高いわけですが、その際の手続きや利用者説明は適切だったのかという点も問題視されています。個人情報を外部委託先が取り扱う場合、発注元はその管理体制を直接把握・評価し、改善を求める義務があります。形式的に契約書で守秘義務や安全管理義務をうたっていても、現場でそれが守られていなければ意味がありません。

今回のケースでも、NDLがIIJおよびソリューション・ワン社に対しどこまでセキュリティ面で踏み込んだ管理をしていたかは定かでありません。しかし結果として利用者情報が漏えいリスクに晒された以上、発注元としての監督が十分であったとは言い難いでしょう。NDLは被害発生後、迅速に公表し利用者へ謝罪するとともに、再発防止策を講じる姿勢を見せていますが、今後求められるのは自館のルールや契約プロセスの見直しです。委託先任せにせず、自らもチェック体制を築くことが再発防止には不可欠です。

浮き彫りになった情報管理上の問題点

この事件を通じて、NDLおよび関係企業の情報管理上の問題点がいくつか浮き彫りになりました。一つは前述した「開発環境に実データを提供していた可能性」に関するガバナンスの問題です。利用者本人の同意なく第三者に個人データを渡していたとすれば、個人情報保護の観点から手続き上の不備が問われる可能性があります。少なくとも、データを提供する際のリスク評価と匿名化措置など、より慎重な対応が必要だったでしょう。

もう一つは、委託先のセキュリティ水準評価と監督方法に関する課題です。IIJは採用基準を設けていたとはいえ、結果的にその基準で十分ではなかったことになります。NDL側も含め、契約段階での評価が形式的に終わっていなかったか、また契約後に定期的な監査や実地確認を行っていたかどうかが問われます。契約上のセキュリティ条項が形骸化していなかったか、現実とのギャップがなかったかを検証し、必要なら契約の見直しや運用プロセスの強化を図る必要があります。

さらに、再委託先のネットワークにNDLのデータへアクセスできる経路を恒常的に開いていたことも議論の対象です。便利さと効率を優先するあまり、セキュリティ上の境界が曖昧になっていなかったか、ゼロトラストの観点から構成を再考すべきだったかもしれません。今回の教訓を踏まえ、NDLとIIJは委託契約および技術面の両方で管理策を見直すことが不可欠です。

国立国会図書館の初動対応と公表内容：インシデント発覚直後の対応措置と公表された情報の詳細を詳しく検証

不正アクセス発覚直後の緊急対応策

国立国会図書館は、11月5日に不正アクセスの事実を認識すると直ちに初動対応に取り掛かりました。まず、IIJおよびソリューション・ワン社と連携し、当該開発環境へのネットワーク接続を即座に遮断しました。これにより、攻撃の進行を封じ込めるとともに、それ以上のデータ流出を防止する措置が講じられました。次に、NDL内部で緊急対応チームを立ち上げ、被害状況の把握と影響評価を開始しました。関連するサーバやシステムのログを解析し、不審な動作やデータ持ち出しの有無をチェックする作業がただちに進められたと考えられます。

また、NDLは館内のセキュリティ監視レベルを一気に引き上げました。具体的には、今回侵害された開発環境だけでなく、NDLが保有する他のあらゆる情報システムやネットワークについて、異常がないか監視を強化しました。これは、攻撃者が他の経路からも侵入を試みていないか、本番サービスに影響を及ぼそうとしていないかを確認するための措置です。結果として、前述の通り既存サービスへの影響は認められず、被害は開発環境に限定されていることが裏付けられました。

加えて、NDLは早期に外部の専門家とも協力して調査に当たったようです。ソリューション・ワン社はフォレンジック専門企業と連携して調査を開始したと述べていますが、NDLとしても警察やセキュリティ機関に相談しつつ、技術的な原因究明に乗り出した可能性があります。初動対応において何より重要なのは被害の封じ込めと原因の特定ですが、NDLはその両面で迅速な行動を取ったと言えるでしょう。

情報公開までの内部調整と広報準備

初動対応と並行して行われたのが、NDL内部での情報共有と公開準備です。館長や上層部への報告はもちろん、法務・広報部門も交え、今回のインシデントに関する事実関係の整理と対外発表内容の検討が緊急に行われました。国立国会図書館という公共性の高い機関で起きた個人情報漏えいの恐れがある事件だけに、迅速かつ正確な情報公開が求められます。NDLは被害状況がある程度判明した段階で、隠すことなく公表する方針を固めたと考えられます。

またNDLは、IIJおよびソリューション・ワン社とも協議し、それぞれの役割に応じた広報対応を調整しました。一次委託先・二次委託先の企業側でも独自に声明を出す必要があるため、情報の齟齬や漏れがないよう擦り合わせが行われたでしょう。特に「どの範囲まで詳細を公表するか」「原因や責任についての言及をどうするか」などセンシティブな点については、慎重に文言が検討されたはずです。

結果として、インシデント発覚から6日後の11月11日には、NDL・IIJ・ソリューション・ワン社の三者が足並みを揃えて情報公開に踏み切りました。これは通常の対応としても比較的迅速な部類であり、情報隠蔽せず公表に踏み切ったNDLの姿勢は適切だったと評価できます。

11月11日の公表内容とその詳細

11月11日にNDLが公開したプレスリリース（ウェブサイト上のお知らせ）には、今回の不正アクセスに関する主要な事実とNDLの対応が簡潔にまとめられていました。その主なポイントを改めて整理すると以下の通りです。

• NDLが外部委託で開発中の館内サービスシステムの開発環境が不正アクセスを受けたこと
• 11月5日に再委託先企業（ソリューション・ワン社）のネットワークが侵害され、そこを経由して開発環境に不正アクセスが行われたと確認されたこと
• 不正アクセスの影響は開発環境内に限定されており、NDLの各種サービスや情報基盤には影響がないこと
• しかし不正アクセスにより、開発環境に含まれていたサーバ構成情報等のシステム開発用情報、および一部の利用者情報・利用履歴情報が漏えいした可能性があること
• NDLは当該開発環境へのアクセスを遮断し、セキュリティ監視を強化する措置を既に講じたこと
• 今後、詳細な調査を引き続き行い、情報漏えいへの対策も適切に実施していくこと
• 利用者や関係者に多大な迷惑と心配をかけたことへの謝罪

このように、公表内容自体は事実関係の報告と基本的な対応策、謝罪に留まっており、攻撃の手口や原因の詳細など踏み込んだ言及はありませんでした。これは、11月11日の時点では詳細調査が完了しておらず確定情報が少なかったこと、また攻撃者への対応上あまり手の内を明かせない事情もあったと推測されます。重要なのは、被害状況と対応を迅速に公表し利用者へ注意喚起を行った点で、NDLの初動広報としては適切なバランスだったと言えるでしょう。

初動対応と公表に対する評価

国立国会図書館の初動対応および情報公表については、概ね迅速かつ適切だったと評価できます。インシデント確認から1週間足らずで公表に踏み切った判断は、被害拡大防止と利用者への誠実な対応という観点から妥当です。他組織では、公表まで数週間～数カ月を要し批判を浴びるケースもありますが、NDLはスピード感を持って発表したことで、利用者が早期に注意を払うことができ、結果として二次被害防止にもつながっています。

ただし、公表時点での情報は限定的で、詳細な原因分析や具体的な漏えい情報の内容までは含まれていませんでした。この点については、第2報で補完されたとはいえ、最初の発表時にもう少し踏み込んだ説明が欲しかったという意見もあるかもしれません。しかし、不確定な情報を憶測で語るリスクを考えれば、事実が固まった範囲でまず公表し、後から追補する形はむしろ慎重で信頼できる対応と言えます。NDLは初動で利用者への謝罪と注意喚起をしっかり行い、以降も誠実に情報開示を続けている点で、公的機関として模範的な対処を行っていると評価できるでしょう。

利用者への影響と図書館側の説明・謝罪：不正アクセスによる利用者情報への影響と国会図書館の説明・謝罪対応

不正アクセスによる利用者への影響と不安

今回の不正アクセス事件により、最大で4,360名分の利用者の個人情報が漏えいした可能性があることが明らかになりました。図書館利用者にとって、自分の名前や利用履歴が第三者に知られるかもしれないという事実は、大きな不安要素となります。特に国立国会図書館は信頼を寄せて個人情報を預けている公共機関だけに、そのデータ管理が破られたとなれば心理的な衝撃は大きいでしょう。

利用者への直接的な影響として考えられるのは、漏えいした情報に基づくプライバシー侵害やなりすまし、フィッシング詐欺などの二次被害です。例えば、攻撃者が漏えい情報を使って個別の利用者に接触を図り、さらに踏み込んだ個人情報を聞き出そうとする可能性も否定できません。また、「自分の情報が漏れたのではないか」という漠然とした不安から、図書館サービスの利用を控えたり、問い合わせが殺到したりすることも予想されます。

NDLによる説明：利用者向け公表内容のポイント

国立国会図書館は、11月11日の公表において利用者に対し今回の事案についての説明を行いました。そのポイントは、前述した発表内容に集約されていますが、特に利用者に関係する部分を振り返ると以下のようになります。

• 開発中システムへの不正アクセスが発生し、一部の利用者情報が漏えいした可能性があること。
• 既存の図書館サービス（NDLオンラインやデジタルコレクション等）には影響がなく、安全に利用できること。
• 現在詳細を調査中であり、判明次第適切に対処すること。
• 利用者の皆様には迷惑と心配をかけて申し訳ないという謝罪の言葉。
• IIJの公式発表ページへのリンク提供（さらなる情報参照先の提示）。

NDLはこのように、利用者に直接関係する事項――すなわち個人情報漏えいの可能性とサービスへの影響――について簡潔に伝えました。「各種サービスや情報基盤への影響は確認されていない」という表現は、利用者に図書館サービスの継続利用を安心してもらうための重要なメッセージです。また、「詳細は調査中」という留保をつけつつも事実を公表したことは、誠実な姿勢として受け止められました。

公式謝罪と利用者への配慮

NDLは公式発表内で「当館をご利用の皆様には多大なご迷惑とご心配をおかけして申し訳ありません」と記し、深い謝罪の意を表明しました。公共図書館として、多くの利用者が自分の情報の安全性に不安を感じたであろうことを真摯に受け止めた文面となっています。謝罪だけでなく、「引き続き詳細を調査し適切に対応する」と約束している点も重要です。これは、利用者に対して「事態を重く見て全力で対処する」という意思表示であり、信頼回復への第一歩となるものです。

また、第2報（11月25日）では、該当する利用者への個別通知を行う方針を明らかにし、連絡先不明の人については自発的な問い合わせを呼びかけるなど、利用者への配慮が示されました。さらに、「現時点で漏えい情報の悪用等の二次被害は確認されていないが、不審な連絡には応じないよう注意してほしい」と具体的な注意喚起も行っています。これは利用者目線に立った丁寧な対応であり、不安を払拭するとともに被害予防にもつながるものです。

利用者への個別通知と問い合わせ窓口

前述のように、NDLは漏えいの可能性がある情報に該当する利用者に対して個別通知を行うことを決定しました。既に図書館にメールアドレス等の連絡先を登録している利用者には、順次NDLから直接連絡が届く見込みです。通知内容としては、自身のどの情報が漏えい対象となった可能性があるのか、今後注意すべき点や問い合わせ先などが含まれるものと推測されます。

一方で、登録情報が古く連絡が取れない利用者や、そもそも連絡先を登録していない利用者も一定数存在します。そのためNDLは、第2報に問い合わせ窓口（電話番号および問い合わせフォーム）の案内を掲載し、「心当たりの方でご自身の個人情報の状況について知りたい場合は連絡をお願いします」と呼びかけました。この問い合わせ窓口は平日昼間の対応とされていますが、2026年6月末まで継続する予定と明記されており、しばらくの間利用者フォローに努める姿勢が示されています。

NDLのこれらの対応からは、利用者への情報提供とサポートを最大限行おうという誠実さが感じられます。被害に遭った可能性のある方々が不安を抱えたまま放置されないよう、きめ細かな通知と相談受付を実施することは、公共図書館としての信頼維持に欠かせない取り組みと言えるでしょう。

信頼回復に向けた図書館側の取り組み

不正アクセス事件によって一時は揺らいだ利用者の信頼を回復するため、NDLは今後も継続的な取り組みを求められます。現在までのところ、NDLは迅速な情報公開と謝罪、個別通知や注意喚起といった誠実な対応を行っており、大きな混乱は生じていません。今後は、再発防止策の策定・実施状況についても適宜公表し、利用者に安心感を与えることが重要です。例えば、「開発環境のセキュリティ強化策を講じた」「委託先との契約見直しを行った」といった具体的な改善情報を発信することで、利用者は再び安心してサービスを利用できるようになるでしょう。

また、本件はNDLに限らず他の図書館や公共機関にとっても他人事ではない教訓を含んでいます。NDLが信頼回復に成功し、さらに安全なサービス提供者へと生まれ変わることは、国内の図書館全体のセキュリティ意識向上にもつながります。そうした意味でも、NDLの今後の対応は利用者のみならず広く注目されており、引き続き丁寧かつ透明性の高い対応が期待されています。

専門家が指摘する問題点と教訓：サイバーセキュリティ専門家の視点から見る今回の事件の問題点とそこから得られる教訓

「最も弱い箇所が狙われる」攻撃パターンの再確認

サイバーセキュリティの専門家は、今回の事件について「サイバー攻撃では最も守りが弱い箇所から攻められるのが常套手段」であり、その典型が現れたと指摘しています。NDLやIIJといった大きな組織は堅牢な防御を敷いていても、その周辺にいる中小規模の委託先企業が相対的に脆弱であれば、攻撃者はそちらを突破口に選ぶというわけです。これは以前から知られていたパターンであり、本件は改めてそのセオリーを裏付ける結果となりました。

この教訓自体は決して新しいものではありませんが、国会図書館という国家機関が被害を受けたことで改めて注目されています。専門家は「今回のように最も末端の委託先が狙われる構造は、官民問わずあらゆる組織が直面するリスクだ」と強調しています。つまり、自組織の防御力向上だけでは不十分で、サプライチェーン全体の安全性を底上げしなければ同様の攻撃を防げないという点が、改めて浮き彫りになったのです。

発注元に問われる情報管理の大原則と責任

専門家の指摘で重要なのは、情報の最終的な責任は発注元にあるという「情報管理の大原則」です。今回のケースでは、直接の侵入を許したソリューション・ワン社に技術的な責任があるのはもちろんですが、それだけでは問題の本質を尽くせません。NDLがIIJおよびソリューション・ワン社をどの程度セキュリティ面で審査・監督していたのか、また開発に当たり利用者データを第三者に提供することの是非をどう判断していたのか、といった点にこそ本質的な問題が潜んでいます。

委託元であるNDLは、自らが収集した利用者情報を守る最終責任者です。たとえ委託先で事故が起きても、「外部のせいだ」では済まされず、その委託先を選定し管理していた責任が問われます。専門家は「委託先が個人情報を取り扱う場合、発注元は管理体制を直接把握・評価し、改善を求める義務がある」と強調しています。この言葉は、単に契約書を交わすだけでなく、実際に委託先のセキュリティ運用状況に踏み込んで関与せよというメッセージです。NDLにとって今回の事件は、自らの情報管理姿勢を見直す契機となるべきでしょう。

開発環境での実データ使用が生んだ落とし穴

専門家が注目するもう一つの問題点は、開発環境において実際の利用者データを使用していた可能性が高いという点です。これについてはNDLから公式の説明は出ていないものの、状況証拠から見てかなり蓋然性が高いと指摘されています。本来、開発・テスト段階ではダミーデータを使うか、どうしても実データが必要な場合でも匿名加工するなど配慮すべきところ、そうした措置が十分ではなかった疑いがあります。

ここから得られる教訓は明確です。つまり「不用意に実データを第三者に提供すべきではない」ということと、「もし提供する場合でも目的や範囲を厳格に限定し、利用者への説明と同意をしっかり取るべき」ということです。専門家は「本当に第三者提供が必要だったのか」「提供する根拠は十分か」「利用者への説明は適切だったのか」が問われると述べています。NDLに限らず、他の組織でも開発や検証目的でデータを社外に持ち出すことはありがちですが、その際のリスク評価と対策がおろそかになれば今回のような落とし穴にはまりかねません。

委託先評価の重要性：イセトー事件の教訓を活かすには

2024年に発覚した大規模情報漏えい事件であるイセトー事件は、委託先経由のリスクを強烈に印象付けました。専門家によれば、この事件の真に深刻な問題は「数多くの委託元組織が、委託先であるイセトー社のセキュリティ水準を適切に評価していなかったこと」でした。契約書上でセキュリティ条項を盛り込んでいても、それが実際に守られているか確認しなければ意味がないという教訓が示されたわけです。

今回のNDLの事案を見る限り、残念ながらその教訓が十分に活かされたとは言えない側面があります。もちろんNDLやIIJは、全く何の対策も講じていなかったわけではないでしょう。しかし結果として再委託先の脆弱性を見抜けず、そこから情報漏えいの可能性を生じさせてしまったのは事実です。イセトー事件を引き合いに出すまでもなく、委託先や取引先のセキュリティ評価を怠れば自組織も被害者になるという現実を、改めて痛感させられる結果となりました。

この教訓から、他の組織も含め取るべき対策は明白です。委託先選定時には単に実績や価格だけでなく、情報セキュリティ体制を厳格に審査すること。そして契約後も定期的にその体制が維持・向上されているか監督し、必要に応じて監査・指導を行うことです。言い換えれば、「委託したら任せきり」ではなく「委託後も共に安全性を作り上げていく」という姿勢が不可欠なのです。

契約と現実のギャップ：形式的なセキュリティ条項の危うさ

前述のように、契約書にいくらセキュリティ条項を盛り込んでも実態が伴わなければ無意味です。このギャップは多くの組織で見られる問題点です。紙の上では「情報を適切に管理する」「漏えいがあれば報告する」といった立派な文言が並んでいても、実際の現場では形骸化しているケースが往々にしてあります。例えば委託先にセキュリティポリシーの提出を求めただけで安心し、その内容や運用状況をチェックしないとか、定期報告を受けても形式的なやりとりに終始している等です。

専門家はイセトー事件の教訓として、「契約上のセキュリティ条項が存在していても、それが実際に運用されているか確認しなければ意味がない」と指摘しています。NDLのケースでも、IIJとの契約で再委託時の安全管理義務は謳われていたでしょうが、その履行状況まで踏み込めていたかは疑問です。委託元として契約と現実のギャップを埋める努力を怠れば、自組織が被害を被るリスクを高めるだけだということが、今回改めて浮き彫りになりました。

この点は他の企業・団体にとっても重要な教訓です。セキュリティ条項は締結して終わりではなく、始まりに過ぎません。本当に遵守されているか、現場で根付いているかを追跡し、必要ならば改善を要求する。それが情報社会における契約管理の新しい常識となるべきでしょう。

今後求められる再発防止策とサイバーセキュリティ強化：事件から学ぶべき安全対策の改善点と今後のセキュリティ強化策

開発環境セキュリティの強化：実データ利用の見直しとアクセス制御

今回の事件を受けてまず取り組むべきは、開発環境のセキュリティ強化です。具体的には、開発・テスト段階での実データ使用を極力避ける、やむを得ず使う場合は匿名化・マスキングを徹底することが必要です。NDLのケースでは、開発環境に一部実利用者データを置いていた可能性が高く、これが被害を拡大させる一因となりました。今後はこの運用を見直し、開発にはダミーデータを用いる原則を貫くべきでしょう。

また、開発環境そのもののアクセス制御を厳格化することも求められます。再委託先から本番データに直接アクセスできる経路は最小限に絞り、必要な場合でも多要素認証やIPアドレス制限をかけるなど、多層防御を施すべきです。特に外部ネットワークと繋がるVPN経路には強固な認証と監視を導入し、万一不審な挙動があれば即座に検知・遮断できる体制を整える必要があります。開発用のID・パスワード管理も再点検し、共有アカウントの廃止や権限の最小化（プリンシパル・オブ・リースト・プリビレッジ）を徹底することが再発防止につながります。

委託先管理の改善：セキュリティ評価基準の厳格化と監査体制

NDLおよびIIJは、今後の再発防止策として委託先・再委託先のセキュリティ評価基準を厳格化することが急務です。IIJは既に「委託事業者の採用基準におけるセキュリティ水準の厳格化や管理監督体制の強化を図る」と表明しています。具体的には、再委託先を選定する際に情報セキュリティ認証（ISO/IEC 27001やISMS認証など）の取得状況を要件に加えたり、独自のセキュリティ審査項目を設けて実地調査をすることが考えられます。

さらに、契約後の定期監査やチェック体制の構築も重要です。年に1回ないし半年に1回は委託先のセキュリティ実施状況をレポートさせたり、必要に応じて現地視察やペネトレーションテストの実施を契約条項に盛り込むことも検討すべきでしょう。形式的なチェックリスト提出だけでなく、双方向のコミュニケーションを通じて実効性を高める工夫が必要です。委託先自身がセキュリティ向上に取り組むよう、主契約者として指導・支援する姿勢も求められます。

また、万一問題が発覚した場合の報告義務と連絡フローを明確化しておくことも再発防止策の一環です。ソリューション・ワン社は今回は迅速にIIJへ連絡したようですが、それも契約や事前訓練で定めておかなければ遅れが生じる可能性があります。事故発生を想定したシミュレーション訓練（インシデントレスポンス訓練）を委託先含め合同で行い、初動対応の連携手順を確認しておくことも有効でしょう。

サプライチェーン全体の防御力向上：大企業による支援と情報共有

サプライチェーン攻撃を防ぐには、一社一社が強くなるだけでなくチェーン全体の防御力を底上げする取り組みが必要です。そのためには、大企業や主契約者が中心となって協力企業を支援し、セキュリティ水準を引き上げる活動が有効です。例えば、自社のセキュリティ専門スタッフを主要な取引先企業に派遣して直接指導・教育するという方法があります。実際、トヨタ自動車は2022年にサプライヤー企業がサイバー攻撃を受け自社工場が停止する被害を経験した後、主要取引先に社員を派遣してセキュリティ指導やシステム点検を行う体制に転換しました。自社だけを強化しても不十分で、サプライチェーン全体の底上げなしには安全を確保できないと痛感したからです。

NDLやIIJも、この考え方を取り入れるべきでしょう。具体的には、再委託先を含む協力企業に対しセキュリティに関する情報共有会や勉強会を開催したり、ベストプラクティスを指南する場を設けることが考えられます。また、業界横断的な取り組みとして、委託先との情報共有ネットワークを作り、不審な事象や脅威インテリジェンスをリアルタイムで共有する仕組みも有効です。単独の企業で対応しきれない部分は、業界団体や公的機関の助言も得ながら、チェーン全体を守る仕組みを構築していく必要があります。

新たなセキュリティ評価制度：★評価制度による客観的な安全性担保

経済産業省は現在、「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築を進めています。これは企業のセキュリティ水準を客観的に評価・可視化する制度で、仮称★（ほし）評価制度とも呼ばれています。具体的にはセキュリティ水準に応じて★3・★4・★5の3段階で企業を評価し、星の数でその企業の対策レベルが一目で分かるようにするという仕組みです。2025年度中の正式発表、2026年度からの本格運用を目指して議論が進められているとのことです。

この制度が整えば、発注元が委託先を選ぶ際の重要な判断材料となり得ます。例えば、★5に認定されている企業は高度なセキュリティ対策を実施していると信頼できる一方、★3の企業は対策が不十分な可能性があるため追加の措置や支援が必要、といった具合です。NDLのような公共機関が再委託先を選定する際にも、この★評価を参考にすれば、より安全性の高い企業を選びやすくなるでしょう。

もっとも、制度が始まったばかりの頃は認証取得企業も限られるため、過信は禁物です。しかし長期的には、★評価制度によりサプライチェーン全体で一定以上のセキュリティ水準を確保することが期待されます。企業側も星を獲得するために対策を強化し、それが新たな競争力になるという好循環が生まれれば理想的です。NDL事件の教訓は、このような制度推進の追い風ともなっており、今後の具体化に注目が集まります。

全関係者のセキュリティ意識向上と訓練

技術的・制度的対策と並んで重要なのが、人のセキュリティ意識と教育です。サイバー攻撃対策は最終的には人間が鍵を握ります。NDL、IIJ、ソリューション・ワン社それぞれの社員・職員が今回の事件を教訓に、自分ごととしてセキュリティ意識を高めることが不可欠です。具体的には、定期的なセキュリティ研修の実施、フィッシングメール疑似訓練の実施、インシデント発生時の報告体制再確認などが挙げられます。

また、委託先と発注元が合同でセキュリティ訓練を行うことも効果的です。例えば、委託先企業でマルウェア感染が発生したという想定で、両者の担当者がどのように連携して対処するかをシミュレーションする訓練です。これにより、いざという時の初動をスムーズにし、ミスコミュニケーションを減らすことができます。トヨタの例にもあったように、発注元が自社スタッフを委託先に派遣して社員教育を行うのも一つの方法です。

総じて、技術・制度・人の三位一体でセキュリティ強化策を講じることが再発防止には重要です。NDLと関係各社が今回の痛みを無駄にせず、得られた教訓を基により強固な安全対策を築き上げることを期待したいと思います。今回の事件は、サプライチェーン全体のセキュリティを見直すきっかけとなりました。その意味で、今後の取り組み如何では同種の攻撃を防ぐモデルケースとなり得るでしょう。お互いに支え合い、監督し合うことで、サイバー攻撃に強い社会基盤を形成していくことが求められています。