独立行政法人100法人のサイバーセキュリティ監査が年度全停止-デロイトトーマツ傘下 ストーンビートセキュリティの契約違反で唯一の受託先IPAが5か月指名停止

セキュリティニュース

投稿日時: 更新日時:

独立行政法人100法人のサイバーセキュリティ監査が年度全停止-デロイトトーマツ傘下 ストーンビートセキュリティの契約違反で唯一の受託先IPAが5か月指名停止

内閣官房が毎年実施してきた独立行政法人・特殊法人・認可法人(計約100法人)のシステムの脆弱性等を点検する国の監査事業が、2026年度(令和8年度)に入って全面的にストップしていることが2026年5月28日、読売新聞の報道によって明らかになりました。

事態の発端は、内閣官房が2026年4月10日、独立行政法人情報処理推進機構(IPA)に対して同年9月9日までの5か月間の指名停止措置を発令したことです(内閣府公式・指名停止措置PDF・2026年4月10日)。

この監査事業はサイバーセキュリティ基本法に基づくものであり、2016年の法改正で法令上、唯一受託できる機関をIPAに限定していました。そのIPAが指名停止となったため、代替の受託機関が存在せず、約5億円の予算を計上した今年度の監査事業そのものが宙に浮く結果となっています。

この記事のサマリー

  • 指名停止発令日:2026年4月10日(内閣府公式公表)
  • 処分対象:独立行政法人情報処理推進機構(IPA)理事長 齊藤 裕 / ストーンビートセキュリティ株式会社 代表取締役 桐原 祐一郎
  • 指名停止期間2026年4月10日〜9月9日(5か月間)
  • 処分理由(IPA):再委託先・ストーンビートセキュリティの契約違反行為により「令和7年度 独立行政法人等に対する監査業務の委託」の一部について履行義務を果たさなかったことなどは「不誠実な行為」であり「契約相手方として不適当」
  • 契約違反の内容(ストーンビート):従業員が内閣官房の契約で定められた「指定外の場所」で作業していたことが発覚。他にも複数の違反が確認された(情報漏洩は未発生)
  • 発覚の経緯:IPAが定期的に再委託先のセキュリティ状況を確認する中でIPAが自らストーンビートの違反を発見・国家サイバー統括室へ報告したことが発端
  • 影響:法令上IPAのみが受託できるこの監査事業が、今年度は約5億円の予算を計上したまま全停止。対象の独法約100法人の脆弱性監査が実施できない状態
  • IPAへの指名停止初めてのケース(過去に前例なし)
  • コメント(立命館大・上原哲太郎教授):「監査はセキュリティへの意識を高める効果もある。政府は着実に実施できるよう、指名停止のルールの適否についても検討すべきだ」

発生の経緯—「指定外の場所での作業」が引き起こした連鎖

監査事業の仕組みと「IPAのみ受託可能」という制度設計

問題となっているのは、全独立行政法人と日本年金機構等の特殊法人・認可法人計約100法人を対象に、基幹システムの脆弱性や情報管理体制などを調べる国の監査事業です。2014年制定のサイバーセキュリティ基本法に基づくものであり、2016年の法改正により高度な技術力を持つIPAのみに委託可能とされています。

監査ではハッカー役の専門家が外部からの侵入テスト(ペネトレーションテスト)等を実施します。機密情報を扱う性質上、内閣官房は契約において「担当者以外が入室できない事業所内の専用部屋を作業場所に指定」し、再委託先にも順守義務を課してきました。IPAは年度初めに内閣官房と随意契約を交わし、内閣官房の許可を得て複数の事業者に再委託する形で事業を運営してきました。

2025年10月—ストーンビートの契約違反が発覚

日経クロステックの報道によれば、2025年(令和7年)10月、IPAの再委託先であるデロイトトーマツグループ傘下の「ストーンビートセキュリティ株式会社」(東京、代表取締役:桐原 祐一郎)において、従業員が内閣官房との契約で定められた指定外の場所で作業していたことが発覚しました。さらに他にも複数の契約違反が確認されましたが、情報漏洩は発生しなかったとしています。

重要なのは、この違反を発見したのは第三者機関ではなくIPAが自ら定期的に実施していた再委託先のセキュリティ状況確認によるものであり、IPAは発見後、直ちに内閣官房国家サイバー統括室へ報告しました(日経クロステック)。

2026年4月10日—IPA史上初の「指名停止」

内閣官房はこの経緯を踏まえ、2026年4月10日付で以下の指名停止措置を公式に発令・公表しました(内閣府公式PDF)。

IPAの指名停止通知(原文):「令和7年4月1日に契約を締結した『令和7年度 独立行政法人等に対する監査業務の委託』に係る契約において、再委託先であるストーンビートセキュリティ株式会社による契約違反行為により、本業務の一部について履行義務を果たさなかったことなどは、不誠実な行為であり、契約相手方として不適当であると認められるため。」

ストーンビートセキュリティも同日付で同期間の指名停止処分を受けています(内閣府公式PDF・ストーンビート処分)。IPAが指名停止を受けるのは、IPAが独立行政法人として設立以来初めてのケースです(読売新聞)。

自ら問題を発見・報告したのに処分という問題

今回の事案でセキュリティコミュニティが強く問題視したのは、IPAが自らストーンビートの違反を発見・報告したにもかかわらず連帯して処分を受けたという構造です。

日経クロステックが内閣官房国家サイバー統括室を取材した結果によれば、適切に管理していたと見られるIPAが「不適当」と断じられた経緯が判明しています。現行の政府調達規則では、再委託先の違反が元請けの履行義務不履行として連帯的に問われる構造になっており、問題を積極的に発見・報告した機関が同等の処分を受けるという不条理が生じました。

この構造は、将来的に問題を発見した際の報告意欲を削ぐという逆インセンティブになりかねません。発見・報告した場合と隠蔽した場合で処分が同等であれば、国の委託先における自主的な内部統制の実効性が損なわれるリスクがあります。セキュリティコミュニティ内では「問題を自ら検知・報告した行為を正当に評価する仕組みがルールに欠けている」という指摘が複数の論者から上がっています(日経クロステック・Vlightup)。

監査の停止が及ぼすサイバーセキュリティリスク

独法約100法人が「セキュリティの盲点」に

今年度の監査事業が全停止したことにより、以下のリスクが発生しています。

独法約100法人の脆弱性が未確認のまま放置されることになります。JAXAは2023年以降複数回のサイバー攻撃を受け個人情報等が一部漏洩した事例に見られるように、最先端技術を持つ独法は国家支援型APTの格好の標的です。監査によって例年発見されてきた脆弱性が今年度は発見されないまま残り続けるリスクがあります。

約5億円の監査予算が宙に浮く状況も続いています。この予算は既に今年度に計上されており、代替の受託機関が存在しない(法令上IPAのみが受託可能)ため、指名停止が解除される9月9日まで執行が事実上不可能です。

「Claude Mythosがシステムの脆弱性を特定する能力が極めて高い」という文脈

読売新聞の報道では「最新AIモデル『クロード・ミュトス』はシステムの脆弱性を特定する能力が極めて高いとされており、サイバー攻撃の脅威は増している」という文脈で本件の深刻さが語られています。当サイトの既報で詳報した通り、Claude MythosはProject Glasswingを通じて1か月で10,000件超の高・重大深刻度脆弱性を発見しており、AIによる攻撃能力の高度化が防衛側の監査体制の強化を急務にしているまさにその時期に、国の監査事業が停止するという皮肉な状況です。

「サプライチェーン攻撃を警告してきたIPAが自らサプライチェーンリスクで処分」という皮肉

IPAは毎年公表する「情報セキュリティ10大脅威2026」において、「サプライチェーンや委託先を狙った攻撃」を第2位(8年連続8回目)に選出し、委託先・再委託先の情報セキュリティ管理の徹底を民間企業に強く訴えてきた機関です。

その当事者が、自らの再委託先(ストーンビートセキュリティ)の管理上の問題によって処分を受けたという事実は、**「委託先管理は言うほど簡単ではなく、最も熟練したセキュリティ機関でも完璧にはできない」**という現実を突きつけています。Vlightup(ブライトアップ株式会社)の分析が指摘するように、今回の事案は「契約では守れない」時代における再委託先ガバナンスの限界を組織的に示すものとして、セキュリティコミュニティで広く議論されています。


各機関のコメント

IPAとして「業務を最後まで継続させる上で課題はあった」と読売新聞の取材に対して述べています。

デロイトトーマツサイバー(ストーンビートセキュリティの親会社)として「業務管理体制の不備があり、セキュリティー専門会社として重く受け止めている」とコメントしています(読売新聞)。

内閣官房国家サイバー統括室として「再発防止策も含め、対応を検討中」としています(読売新聞)。

立命館大学・上原哲太郎教授(情報セキュリティ)として「監査はセキュリティへの意識を高める効果もある。政府は着実に実施できるよう、指名停止のルールの適否についても検討すべきだ」と指摘しています(読売新聞)。

今後への提言—「唯一受託機関」制度の再設計と指名停止ルールの見直し

今回の事案は、以下の制度的課題を浮き彫りにしています。

「唯一受託機関」制度の脆弱性として、法令上IPAのみが受託可能という設計は、IPAが何らかの理由で機能しなくなった場合のバックアップが存在しないことを意味します。セキュリティ監査という国家の重要機能に「単一障害点(SPOF)」を作ることのリスクを再評価し、代替機関の育成または法令改正による柔軟化を検討する必要があります。

「自ら問題を発見・報告した場合の扱い」のルール整備として、上原教授が指摘するように現行の指名停止ルールが違反の積極的な発見・報告を抑制しないよう、問題を自ら発見・報告した場合の情状酌量または軽減規定の整備が求められます。適切に管理し、自主的に問題を発見・報告した機関が連帯して同等の処分を受ける現行制度は、今後の自主的な内部統制の実効性を損なうリスクがあります。

再委託先ガバナンスの技術的手段として、契約条件の書面による確認だけでなく、作業場所の監視カメラ・アクセスログ・リモートワーク端末の技術的管理など、契約違反を技術的に検知・防止する仕組みの義務化も検討すべきです。


参考情報