【国内大学】IT業務およびネットワークシステムの保守を委託(2026年)
委託先事業者において自社サーバーへの不審なアクセスが検知されました。これを受け、同社では被害拡大防止のため、ネットワーク隔離等の初動対応を速やかに実施しました。当初、大学側は委託先より「大学関連データの流出は見られない」と報告を受けていましたが、その後の追加調査により約3ヶ月が経過した2026年2月、卒業生の個人情報が記載された電子ファイルの流出が判明したとの報告を受けました。
ブログ情報一覧に戻る委託先システム会社のセキュリティ体制は大丈夫?
委託先システム会社のセキュリティ体制は大丈夫?
~サプライチェーンの不正アクセス対策には「ゼロトラスト」が不可欠~
VPNのパスワード認証に潜む危険性とCloudGate UNOを活用した現実的なセキュリティ対策のまとめ
本ページでは、近年深刻化するVPNを起点としたランサムウェア被害や不正アクセスに対する解決策として、パスワード認証への依存から脱却するゼロトラストセキュリティの重要性を解説しています。VPN機器の脆弱性やパスワードの使い回しに起因する情報漏洩リスクを防ぐには、国産IDaaSであるCloudGate UNO(クラウドゲート ウノ)を活用した認証強化が最も現実的かつ効果的です。
CloudGate UNOを導入することで、FortiGateやCiscoといった既存のVPN環境や各種クラウドサービスに対して、以下のような強固なセキュリティ対策をシームレスに実装できます。
- FIDO2パスキーなどを活用した多要素認証(MFA)によるパスワードレス認証の実現
- ユーザーの役職、アクセス場所、時間帯、端末証明書に基づいた柔軟なアクセス制限
- SAML連携を通じたVPNクライアントへのSSO(シングルサインオン)適用による利便性と安全性の向上
VPN運用におけるパスワード管理の限界を克服し、ネットワーク内部での水平展開(ラテラルムーブメント)を防ぐためには、CloudGate UNOの多要素認証とアクセス制限が不可欠です。CloudGate UNOは、サイバー攻撃から企業の機密情報を守り、安全で止まらないビジネス環境の構築を強力にサポートする最適なソリューションです。
株式会社インターナショナルシステムリサーチ
2026年6月17日
本記事のまとめ
委託先の不正アクセスを起点とするサイバー攻撃が急増しており、サプライチェーン全体での「ゼロトラストセキュリティ」に注目が集まっています。経産省の「SCS評価制度」では、アイデンティティ管理と多要素認証 (MFA) が重要な対策に位置づけられています。
本記事ではサプライチェーンにおける認証の課題と、最新の対策ソリューションを解説します。
ソリューション
- ・多要素認証とアクセス制限を組み合わせたゼロトラストセキュリティ
- ・クラウドストレージでのデータの脱ローカル化
- ・PCログイン二要素化を利用した多層防御
はじめに:サプライチェーン全体でのセキュリティ対策が急務に
委託先企業のセキュリティ体制を確認し、必要であれば強化を求めることは、自社の情報資産を守るために不可欠です。
なぜなら、近年発生しているサイバー攻撃の多くは、セキュリティ対策が強固な「本丸 (自社)」ではなく、比較的手薄な「委託先(サプライチェーン)」を最初の侵入経路 (踏み台)としているためです。
独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大骨成2026」では、「サプライチェーン攻撃」が組織向け脅威の第2位に選出されました。これは8年連続での選出であり、サプライチェーン攻撃が深刻な脅威であることを示しています。
サプライチェーン攻撃には、システム開発会社が開発するソフトウェアに不正なプログラムを混入させる「ソフトウェアサプライチェーン攻撃」や、システム運用保守会社のネットワークを経由して侵入する 「サービスサプライチェーン攻撃」などの手法が存在します。
どのような種類の攻撃であっても、その攻撃者はネットワークへの不正アクセスを狙う可能性があります。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
※IPAの公開情報をもとに作成
委託先経由で発生した2026年の
インシデント実例
実際に、委託先の不正アクセスを起点とした重大なインシデントが2026年にも相次いで発生しています。
【地方自治体】業務委託先のシステム会社(2026年)
国内のある地方自治体において、業務委託先のシステム会社がランサムウェア等によるサイバー攻撃を受け、甚大な個人情報漏洩の可能性があることが公表されました。
原因は委託先サーバへの不正アクセスであり、当該自治体および関連する複数の公的機関が対象となっています。
これらの事例が示す通り、自社のセキュリティだけでなく委託先の不正アクセス対策にも目を光らせる必要があるでしょう。
不正アクセスの多くは「漏えいした認証情報」を起点としています。このため自社だけでなく、システムへのアクセス権限を持つすべての委託事業者に対して、認証情報の保護とアクセス制御を課す「ゼロトラスト」モデルの実装が急務となっています。
今求められるゼロトラストアーキテクチャ
従来の境界型防御に依存せず、すべてのアクセスを信頼せず、
常に検証する考え方を「ゼロトラスト」といいます。
ゼロトラストを元にすると自社のみならず、システムへの接続權限を持つすべての委託事業者に対しても、認証の保護と厳格なアクセス制御を求めることが必要です。
委託先が取り組んでいるセキュリティ対策の状況を正しく把握し、お互いに技術的なサポートを行える環境を整えることこそが、これからの企業DXにおける「共助」の形です。委託先の作業環境における「認証・アクセス制限」の課題
委託元企業が委託先に求めるセキュリティ要件 (ISMSの取得やプライバシーマークの保有など)は組織体制の構築には有効ですが、現場における日々のアクセスを技術的に管理・保護する上では、以下のような実務上の課題をクリアしなければなりません。
認証情報の管理負荷とフィッシングの脆弱性
多くのITベンダーやシステム会社は、複数の顧客環境やプロジェクトを並行して管理しています。
ログインがIDとパスワードのみの運用に依存している場合、予測可能なパスワードを設定してしまったり、フィッ
シング攻撃によって認証情報が容易に流出し、不正アクセスの原因となります。
場所を限定しないアクセス制限の難しさ
常駐業務や外動営業に加えハイブリッドワークの進展により、委託先従業員が社外からシステムにアクセスする機会が増加しています。
従来の「IPアドレス制限」だけでは柔軟な働き方に対応できず、アクセス制限を緩和した結果、認証情報が窃取された際の不正侵入を容易にしてしまいます。
オンプレサーバーや端末ローカルにおけるデータ保護と管理の課題
オンプレミスのファイルサーバーや各端末ローカルで顧客データを保存・運用している企業では、サーバーが侵害された場合、システム全体の管理者権限(とその認証情報)が窃取され、保管されているすべての顧客データが宿取されてしまうリスクがあります。
対策として、認証の強化および、アクセス権限の細分化やアクセス制限が必要ですが、それらが不十分な環境では、一度の侵入がサプライチェーン全体に致命的な被害を与える可能性があります。
経済産業省「SCS評価制度」が変える委託先の選定基準
2026年度末より本格運用を開始する「セキュリティ対策評価制度(SCS評価制度)」により、日本のB2B取引における委託先選定基準は「実効性(実際に不正アクセスを防げる技術的対策があるか)」を客観的に示す星(★)の数も考慮に入れられるでしょう。
この制度は、経済産業省と内閣官房国家サイバー統括室が策定し、独立行政法人情報処理推進機構(IPA)が事務局となって運営する任意のセキュリティ対策適合制度です。
アイデンティティ管理(中分類4-1)の重要性
SCS評価制度(★3〜★4)の評価項目のうち、最も大きな比重を占めているのが「中分類4-1:アイデンティティ管理、認証、アクセス制御」です。
実際のセキュリティ対策においてアイデンティティ管理、認証、アクセス制御の保護が重要であることが、この配重からわかります。
委託先がどのように認証情報を運用しているか、アクセス制限を実施しているかを正しく理解し、着目する必要があります。
国産IDaaS 「Cloud Gate UNO」は、SCS評価制度で重視されるアイデンティティ管理要件の多くをIDaaS (MFA. アクセス制限、シングルサインオン)で対応します。
CloudGate UNO の詳細な機能を見る委託先が多要素認証とアクセス制限を実施しているか確認しましょう
委託先が自社のデータを安全な環境で取り扱っているか確認しましょう。「認証」「データ」 「端末」の3点すべてを防御する多層的な対策が必要です。
多要素認証とアクセス制限で委託元の情報を守っているか?
委託元が提供する機密情報へのアクセスを適切に認証・制限しているか確認しましょう。
フィッシング耐性の高い多要素認証(MFA)
委託先がクラウドおよび社内システムへのログインに「多要素認証 (MFA)」を導入していると、不正アクセスのリスクを大幅に低減できます。
ただし、ワンタイムパスワードやSMS認証といったリアルタイムフィッシング攻撃に弱い多要素認証は推奨できません。パスキー (FIDO2規格) でのパスワードレス認証を導入しているか確認しましょう。
デバイス証明書/アクセス制限
委託元が許可した「特定の作業用PC」以外からのアクセスをシステム的に制限。これにより、意図しない端末や私物デバイス (BYOD) 経由の情報漏えいを未然に防ぎます。
また、「最小権限の原則」を元に、権限のないユーザーのサービス利用を防止する措置が取られているか確認しましょう。
ゼロトラストの第一歩
多要素認証とデバイス証明書、高度なアクセス制限の適用には、実績豊富な国産IDaaS 「CloudGate UNO」をおすすめします。
CloudGate UNOのサービス概要資料をダ ウンロードするデータのクラウド管理でセキュリティを「見える化」しているか
物理的な媒体(USB等) やオンプレミス、ローカル端末へのデータ保存に代わり、セキュアなクラウドストレージを活用しているか確認しましょう。
クラウドストレージでの「データのダウンロード抑制」と「ログ監視」
すべての成果物や作業用データをクラウド上で一元管理し、アクセス制限を厳格に行うことでオンプレ サーバーが抱える境界防御の脆弱性に対応できます。
また、データのダウンロード(ローカル保存)を抑制し、クラウド上で「誰が、いつ、どのファイルにアクセスしたか」を24時間監視することで、不審な挙動やファイルの不自然なダウンロードを検知・通知できる体制を整えられます。
物理トラブルや災害からデータを守るバックアップ (BCP対策)
万が一、作業PCのハードウェア故障やオフィスが被災しても、クラウド側に自動保存されたデータから業務を継続・復元可能です。
業務効率化とコスト削減に直結
上記のセキュリティ面のメリットに加え、自社内や委託先の各環境に散らばったデータをクラウド上に一元化することで、ファイルサーバーの容量肥大化を抑え、ファイルの検索や管理にかかっていた無駄な時間を削減できます。
PCログインの認証を強固にできているか
端末自体の起動と第三者による利用を制限するために、セキュリティキーによる多要素認証が効果的です。
セキュリティキーとは
まとめ:ゼロトラストを実現するソリューション
委託先の業者様と連携し、最適なセキュリティ構成を検討いたします。
ぜひ本ページを委託先のセキュリティのご担当者様にご紹介ください。
\個別相談のご案内/
オンライン個別相談を予約するCloudGate UNO(クラウドゲート ウノ)はシングルサインオン(SSO)・アクセス制限・IAM・多要素認証(MFA)で安全性と利便性を両立させた、国産IDaaSプラットフォームです。
TEL:03-5942-8315(平日10:00 ~ 17:00)
FAX:03-5942-8313(24時間受付)
