埼玉大学の不正アクセス事案から学ぶ委託先管理のセキュリティ対策

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「業務委託先のシステムがサイバー攻撃を受けたら、うちの責任になるの?」
「委託先のセキュリティをどこまでチェックすればいいのかわからない」

チップス

ボス!
埼玉大学の特許管理システムが不正アクセスを受けたってニュース見たでしゅ!
しかも委託先のシステムが原因って……。

ボス

委託先のサーバーがセットアップ直後から不正アクセス可能な状態だったという話だ。
1,516名分の個人情報が影響を受けた可能性がある。
自組織のセキュリティだけでなく、委託先の管理体制まで目を配る必要があるという典型例だな。

この記事では、埼玉大学の事案を整理し、委託先のセキュリティ管理で押さえるべきポイントを解説します。

  • 特許管理システムKEMPOSへの不正アクセスの経緯と発覚までの流れ
  • セットアップ直後から侵入可能だった問題の根深さ
  • 委託先管理で実践すべきセキュリティチェックの要点

業務委託を活用している組織の方は、自社の管理体制を見直すきっかけにしてください。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

埼玉大学の不正アクセス事案の概要

まずは何が起きたのか、時系列で確認します。

発覚の経緯と被害の全容

埼玉大学は委託先の株式会社ネットワークスが運用する特許管理システム「KEMPOS」を利用していました。
2025年10月8日、委託先がサーバー点検を行った際にマイニングマルウェアの稼働が発覚。
調査を進めたところ、2025年2月上旬のセットアップ直後から不正アクセスが可能な状態だったことが判明しています。

被害の状況は以下の通りです。

  • マイニングマルウェアの感染を確認
  • 2025年3月にはランサムウェア感染の痕跡も発見
  • 1,516名分の個人情報に影響の可能性(教職員229名、学生227名、学外共同発明者582名、弁理士478名)
  • 漏洩の可能性がある情報は氏名・所属機関名・住所・特許関連情報

約8か月間、不正アクセスが可能な状態が放置されていたことになります。
発見のきっかけが定期点検だったのは不幸中の幸いですが、検知体制の不備が長期間の侵害を招いた格好です。

チップス

8か月も気づかなかったんでしゅか……。
委託先のサーバーだと、なかなか気づけないものなんでしゅね。

ボス

だからこそ委託先の管理が重要なんだ。
「任せたから安心」ではない。
委託先のセキュリティ体制を確認し続ける仕組みが必要だ。

委託先管理で押さえるべきセキュリティ対策

今回の事案を教訓に、委託先管理の実践的な対策を整理します。

契約時と運用時の二段階チェック

委託先のセキュリティ管理は、契約を結ぶ段階と運用開始後の2つのフェーズで確認が必要です。
今回のケースでは、セットアップ直後から脆弱な状態だったことから、初期構築段階のチェックが機能していなかった可能性があります。

具体的に確認すべき項目を段階別に整理します。

段階チェック項目
契約時セキュリティ要件の明文化、脆弱性診断の実施義務、インシデント報告体制の取り決め
構築時セットアップ完了後のセキュリティ検証、不要ポートの閉鎖確認、初期パスワードの変更
運用時定期的な脆弱性スキャン、ログの監視体制、パッチ適用状況の報告

侵害の早期検知体制を整える

今回は点検でたまたまマイニングマルウェアが見つかりましたが、検知の仕組みが整っていれば、もっと早く気づけたはずです。
委託先システムであっても、監視の目が届く体制を構築することが欠かせません。

早期検知のために有効な対策は以下の通りです。

  • 委託先サーバーのログを自組織でも受領・監視する契約にする
  • 異常なCPU使用率やネットワークトラフィックのアラートを設定する
  • 定期的な脆弱性診断を第三者機関に依頼する

マイニングマルウェアはCPUリソースを大量に消費するため、リソース監視が機能していれば早期に異常を検知できた可能性が高いといえます。

まとめ

ボス

委託先に任せたシステムで情報漏洩が起きれば、責任は委託元にも及ぶ。
「任せた」は「放置した」とは違う。
契約・構築・運用の各段階でセキュリティを確認する体制を築いておけ。

チップス

オイラも委託先との契約書、もう一回見直してみるでしゅ……。

埼玉大学の事案は、委託先システムのセキュリティ管理を怠ったときのリスクを具体的に示しています。
セットアップ直後から8か月間も侵害が続いた事実は、初期構築段階のチェックと継続的な監視がいかに大切かを物語っています。
委託先との契約にセキュリティ要件を盛り込むところから、まずは見直しを始めてみてください。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次