はじめに
私たちが利用する商品やサービスは、企画開発、材料調達、製造、販売といった多くの企業の「つながり」によって成り立っています。この一連の流れを「サプライチェーン」と呼びます。
近年、このサプライチェーンのつながりを悪用する「サプライチェーン攻撃」が深刻な脅威となっています。IPA(情報処理推進機構)が公表する「情報セキュリティ10大脅威2026」(*1)では、組織部門において4年連続で2位にランクインしており、極めて優先度の高いリスクとされています。
では、サプライチェーン攻撃とはどのような手口で、なぜ近年これほど注目されているのでしょうか。
サプライチェーン攻撃とは?
サプライチェーン攻撃とは、本来の標的である企業を直接狙わず、その企業と取引などでつながる会社(取引先・委託先など)を経由して侵入する手法です。(*2)
たとえば、システムの保守会社やソフトウェア開発会社が業務のために持つ正規のアクセス(業務で使うVPN、管理者アカウント、ソフトウェア更新の仕組みなど)を悪用されるケースがあります。具体的には、以下のような経路です。
・VPN
・管理者アカウント
・ソフトウェア更新の仕組み
これらは本来、業務のために使われる正規の手段であるため、不正な操作が通常業務に紛れ込みやすく、発見が難しくなる傾向があります。
また、サプライチェーン攻撃の厄介な点は、自社が被害を受けるだけでなく、自社が踏み台となって取引先に被害を広げる可能性があることです。その結果、顧客や社会からの信頼低下、損害賠償、取引停止など、事業面にも大きな影響を及ぼしかねません。
こうした攻撃が増えている背景には、企業間のつながる入口が増えていることがあります。主な要因は次のとおりです。
・クラウドサービスの利用拡大
・外部ツールの活用増加
・MSP(外部の運用・監視サービス)の利用
・API(システム同士をつなぐ仕組み)連携の普及
加えて、大企業を正面から攻撃するよりも、比較的対策が手薄になりやすい関連会社や委託先を経由したほうが、効率的に侵入しやすいという事情もあります。
このように、いま求められているのは「自社だけを守る」対策ではありません。サプライチェーン全体を見据えたセキュリティ対策が必要になっています。
こうした状況が実際にどのような被害として表れているのか、以下で国内の例を確認してみましょう。
サプライチェーン攻撃の国内被害例
| 事例1 |
|---|
| 国内の製造業で、取引先企業がマルウェアに感染し、関連先とのリモート接続機器を足がかりに受発注システムが停止。納入指示が出せず、複数の工場・生産ラインが1日停止し、多数の生産に影響が出るなど、サプライチェーン全体へ波及しました。 |
| 事例2 |
|---|
| 国内の医療機関で、ネットワーク機器の脆弱性を突いた不正アクセスにより電子カルテが暗号化され、一定期間にわたり診療に制限が生じました。 |
これらの事例が示すように、サプライチェーン攻撃の影響は情報漏えいにとどまりません。生産停止や診療制限など、事業やサービス提供そのものを止めてしまう可能性があります。
そのため、被害を防ぐには、平時からの備えが欠かせません。
サプライチェーン攻撃を防ぐための対策
サプライチェーン攻撃を防ぐには、自分の会社だけでなく、取引先や委託先とも協力して守ることが大切です。ここでは、企業が取り組むべき対策のポイントを紹介します。
1. 技術面の対策
まず、VPNやクラウド連携、API連携など、外部とつながっている経路を確認し、不要な接続や強すぎる権限がないか見直します。また、管理者アカウントは必要最小限にし、多要素認証(MFA)を導入することで、不正ログインを防ぎやすくなります。さらに、ネットワークを分けたりログを監視したりすることで、被害の拡大防止や早期発見につながります。
2. 運用面の対策
取引先や委託先との契約では、必要なセキュリティ対策や、事故が起きたときの責任・連絡方法を明確にしておくことが大切です。社内でも、使っていないアカウントを削除し、権限を定期的に見直す必要があります。あわせて、インシデント発生時の対応手順を決めておくことで、被害を広げにくくなります。
3. 組織面の対策
サプライチェーン攻撃は、IT部門だけで防げるものではありません。経営層から現場までリスクを理解し、会社全体で対応することが大切です。日頃から教育や注意喚起を行い、不審なことがあればすぐ報告できる体制を整えましょう。また、新しく外部サービスや委託先を利用する際は、相手のセキュリティ対策も確認する必要があります。
こうした対策を進めるうえで重要なのは、どこに弱点があるのかを客観的に把握することです。そこで有効なのが、「脆弱性診断」です。
自分たちだけでは見落としや思い込みが生じがちですが、脆弱性診断を行うことで、外部に公開されている領域(公開WebやAPI、リモートアクセス、クラウド設定など)や権限設計上の弱点を客観的に洗い出せます。診断結果では、検出された脆弱性や設定上の不備について、影響度や再現性を踏まえて優先順位を付けられるため、限られた時間の中でどこから改善・対処すべきかを判断しやすくなります。 対策後に再診断を行えば、改善の効果を確認することも可能です。サプライチェーン対策に直結するシステムの弱点を可視化できる点が、診断の価値です。
当社では、豊富な経験を活かして、ツールによる診断に加え、診断員による手動検査を行う「脆弱性診断サービス」と、コストと期間を抑えた「脆弱性ツール診断サービス」をご用意しております。
サービスの詳細は以下よりご確認ください。
– セキュリティ診断
– デロイト トーマツ ウェブレッジ株式会社は新たに「脆弱性ツール診断」サービスの提供を開始いたします
ぜひお気軽にご相談ください。
出典:
*1:「情報セキュリティ10大脅威2026」解説書[組織編]| 独立行政法人情報処理推進機
*2:サプライチェーン攻撃篇 | 警視庁
本件のお問い合わせ
本件につきましては、お問い合わせフォームまたは下記までお問い合わせください。
TEL:03-6380-8261
Email:sales_team@tohmatsu.co.jp