チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「IPAって国のセキュリティ機関じゃないの?なぜ指名停止に?」
「再委託先の不祥事って、自社にも関係ある話なの?」
チップスボス、あのIPAが内閣官房から5ヶ月も出禁になったって本当でしゅか…?
ボスうむ。再委託先のセキュリティ会社が契約違反を犯し、IPA自身がその発見者になったという皮肉な構図だ。
サプライチェーンを束ねる側の責任を、現場で考えるよい教材だな。
IT国家戦略の中核を担うIPAが、5ヶ月間の指名停止という前代未聞の処分を受けました。
本記事では処分の中身、原因となった再委託先の違反、そして民間企業が学ぶべき委託先管理の論点を整理します。
セキュリティ業務を外部委託する企業にとって他人事ではない事案です。
委託先・再委託先のガバナンス強化を考える起点として、ぜひ最後まで読み進めてください。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
【CyberArk検証環境構築】東京・豊洲/本番導入に向けた検証・手順作成支援
処分は前例の少ない重さで、かつ違反の発見者が処分対象者本人という皮肉な構図でした。
内閣府の指名停止措置一覧によると、対象期間は2026年4月10日から9月9日までの5ヶ月間。
内閣官房が実施する競争入札への参加が制限されます。
| 項目 | 内容 |
|---|---|
| 処分対象 | 独立行政法人情報処理推進機構(IPA) |
| 処分発令日 | 2026年4月10日 |
| 停止期間 | 2026年4月10日〜9月9日(5ヶ月間) |
| 処分理由 | 再委託先(ストーンビートセキュリティ)の契約違反 |
日経クロステックの報道によれば、ストーンビートは独立行政法人を対象とした監査業務の中で、契約に定められた作業実施場所を破るなど複数の違反を犯していました。
同社はIPA契約の違反で5ヶ月、別途内閣官房と直接結んでいたペネトレーションテスト契約の違反でも6ヶ月の処分を受けています。
処分の重さに比べ、IPAの対応そのものは官房関係者からも肯定的な評価を受けています。
裏返せば「契約と監査の徹底でも防ぎきれない領域」が示されたといえます。
チップス違反を見つけて報告した側がペナルティを受けるなんて、損な話でしゅね…
ボスそう見えるが、元請けは再委託先まで含めて「契約の履行責任」を負うのが原則だ。
発見と報告が早かったからこそ、これでも軽い処分で済んでいるとも考えられる。
官房関係者は「IPAは契約の適正な履行を確保し、定期的な聴取を実施。違反も迅速かつ適正に報告した」と評しています。
この対応プロセスは民間企業の委託管理にもそのまま応用できます。
セキュリティ業務をMSP・SIerに委託している企業は、「再委託先まで責任が連鎖する」前提で契約を見直す必要があります。
確認したいのは次のような項目です。
チップスIPAでも完璧には防げないなら、うちみたいな会社はもっと気をつけないとでしゅね…
ボスうむ。
契約書だけで安全は守れない時代だ。
発見と報告のスピードを評価する文化を社内にも持ち込むのが、結局は近道になる。
今回の処分は、IT国家戦略の旗振り役であるIPAでさえ再委託先の管理に苦戦することを示しました。
民間企業も「契約と監査」だけに頼らず、検知と報告の運用を回せる体制づくりに、いまから着手したいところです。
委託先のセキュリティガバナンスを設計・運用できる人材は、社内でも外部支援でも常に不足気味です。
現場で経験を積みたい方は、案件単位で挑戦できる場を覗いてみてください。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
【CyberArk検証環境構築】東京・豊洲/本番導入に向けた検証・手順作成支援
