ご契約様専用ページ

ID / パスワードをお忘れの方は こちら
※メーラが立ち上がります

※メーラが自動で立ち上がらない方は、
g-security@dentsusoken.com 宛てに
契約中のソリューション名(SecurityScorecard/KnowBe4)と
お客様情報をご連絡お願いいたします。

  1. ホーム
  2. コラム
  3. サプライチェーンのセキュリティ対策は大丈夫?

サプライチェーンのセキュリティ対策は大丈夫?

  • #サプライチェーン

【目次】

  1. 1.サプライチェーン攻撃とは?
  2. 2.事例で学ぶサプライチェーン攻撃の手口
  3. 3.サプライチェーンのセキュリティ対策
  4. 4.できるところから着実に
DX化が進み、昨今の私たちの業務は、社内だけで完結するものではありません。取引先、外部委託先、クラウドサービスなど、さまざまな“つながり”の中で成り立っています。便利で効率的なこの仕組みは、一方で新たなリスクも生み出しています。
 
近年増加している「サプライチェーン攻撃」は、こうした“つながり”の弱点を狙うサイバー攻撃です。自社が直接狙われるのではなく、取引先や外部サービスを経由して侵入されるケースが多く、気づいたときにはすでに情報が漏れていた…ということもあります。
 
このブログでは、サプライチェーンを悪用した攻撃の手口やセキュリティ対策をわかりやすく紹介します。まずは、どんな攻撃が起きているのかを見ていきましょう。

サプライチェーン攻撃とは?

最近、「サプライチェーン攻撃」という言葉を耳にする機会が増えています。ここで改めて、どのような攻撃なのか整理しておきましょう。
 
サプライチェーン攻撃とは、企業間のつながりを悪用したサイバー攻撃のことです。
ビジネスのサプライチェーンとは、製品の原材料調達から製造、出荷、販売に至るまでの流れを指します。この流れの中にある企業間のつながりを狙って侵入し、情報を盗むのがビジネスサプライチェーン攻撃です。なお、他にもソフトウェアサプライチェーン攻撃やサービスサプライチェーン攻撃などもあります。
 
この繋がりは、ビジネスを進める上で欠かせませんが、同時にサイバー攻撃の「標的」にもなり得ます。
 
サイバー攻撃者は、金銭の獲得やターゲット企業の信頼失墜を狙って攻撃を仕掛けます。その際、セキュリティ対策が厳重な大企業を直接狙うのではなく、比較的セキュリティ対策が手薄な関連会社や取引先を最初の標的にすることが少なくありません。
 
こうした標的となる企業を踏み台にして侵入し、最終的に関連会社や大企業へと被害を広げていきます。これがサプライチェーン攻撃の典型的な手口です。 
 
サプライチェーン攻撃は、私たちが普段当たり前に「信頼している」その繋がりを悪用する、非常に巧妙な手口です。
 
このサプライチェーン攻撃は、年々増加しており、毎年IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威」にも7年連続トップ10入りし、2025年では2番目に位置しており、セキュリティ対策の重要性がますます高まっています。
 
出典:情報処理推進機構(IPA)「情報セキュリティ10大脅威 2025」
https://www.ipa.go.jp/security/10threats/10threats2025.html

事例で学ぶサプライチェーン攻撃の手口

サプライチェーン攻撃については概ね理解できましたが、実際にどのような攻撃があり、どのような被害が発生しているのか事例から見ていきましょう。

・大手自動車メーカー

主要サプライヤーがランサムウェアに感染し、国内14工場の操業が停止。
結果、約1万3千台の生産に遅れが生じました。
攻撃者は、主要サプライヤーのリモート接続機器の脆弱性を悪用し、子会社ネットワークに侵入。部品メーカーや本社ネットワークへ攻撃を拡大し、ランサムウェアを展開しました。

・大手ITサービス企業

約44万件の情報漏洩が発生。
攻撃者は、委託先企業が所持するPCにランサムウェアを展開し、社内ネットワークを経由して自社システムへ感染を広げました。

・大手宿泊予約サービス企業

数十万件の情報漏洩が発生。
登録先の宿泊施設のPCにマルウェアを感染させ、大手宿泊予約サービス企業の宿泊施設者専用アカウントを入手。
その後、宿泊予約サービス企業経由で宿泊予約者へフィッシングメールを送り、偽サイトからクレジットカード情報を含む個人情報を収集しました。
 
 
事例からもわかるように、攻撃者は本社に直接サイバー攻撃を行うのではなく、関連会社や取引先を経由して侵入しています。本社のセキュリティ対策が強固であっても、関連会社の脆弱性を突き、侵入に成功するケースが増えているのです。
 
それでは、サプライチェーン攻撃に備えるために、どのようなセキュリティ対策を行えばよいのでしょうか。

サプライチェーンのセキュリティ対策

サプライチェーン攻撃へのセキュリティ対策はさまざまです。会社の状況にあわせて、できるものから順番に始めるのが効果的です。
IPAでもガイドラインが提供されているので、参考にするのも良いでしょう。
 
ここでは、代表的なサプライチェーンに関するセキュリティ対策の一例を紹介します。

1. 取引先・委託先等の関連会社へのセキュリティ評価

  • 契約前にセキュリティ体制を確認(チェックリストや監査)
  • 定期的にリスク評価を行い、必要に応じて更新
  • 契約書にセキュリティ要件を明記

2.ゼロトラストの導入

  • 「何も信頼しない」を前提とした設計
  • アクセス権限や認証を厳重に管理
  • 社内外問わず、通信や操作を監視・記録

3.ソフトウェア、システム等の更新と管理

  • 利用しているツールやライブラリ等の脆弱性を定期的にチェック
  • 自動アップデートや自動パッチ適用を導入
  • オープンソース利用時は安全性を確認

4.社員向けセキュリティ教育

  • フィッシングメールの見分け方や報告方法を周知
※フィッシングサイトへの誘導や誘導先での情報搾取、マルウェア感染などのきっかけとなる。
  • 情報共有時に送信先や内容を確認
  • 定期的な研修やeラーニングの実施

5.インシデント対応体制の整備

  • 情報漏洩やサイバー攻撃に備えた対応フローを構築
  • 社内外への迅速な連絡体制を整備
  • ログの保存と分析による原因特定と再発防止
 
すべてを一度に実施する必要はありません。
一つひとつ確実に取り組むことで、着実にセキュリティ対策を強化していきましょう。

できるところから着実に

いかがでしたでしょうか。サプライチェーン攻撃について、少しずつ理解を深められたでしょうか。AIの登場により、攻撃者もますます容易にサイバー攻撃を行える環境になりつつあります。
そのため、セキュリティ対策は人任せにせず、自分事として日々意識していくことが重要です。
 
とはいえ、自社だけでできることには限界があります。特に、関連会社まで含めたセキュリティ対策は、自社だけで行えるものではありません。
 
そこで、取引先等の関連会社のセキュリティの状況をなるべく簡単に把握できる方法をご紹介します。
 
先ほど触れた「取引先、委託先等の関連会社へのセキュリティ評価」は、スコアリングサービスを活用することで効率的に実施できます。
 
スコアリングサービスを活用すると、インターネット越しに組織のセキュリティ状況を俯瞰して確認することが可能となり、スコアとして数値化されるため、わかりやすく管理できます。
 
電通総研は、セキュリティ・リスク・スコアリングシステム「SecurityScorecard」(セキュリティスコアカード)と、サプライチェーンセキュリティリスク管理システム「Panorays」(パノレイズ)の提供を通じて、企業のサプライチェーンリスク対策を支援しています。各ソリューションの詳細については、以下をご参照のうえ、ぜひお気軽にお問い合わせください。
 
セキュリティ・リスク・スコアリングシステム「SecurityScorecard」
https://security.dentsusoken.com/ssc/
サプライチェーンセキュリティリスク管理システム「Panorays」
https://security.dentsusoken.com/panorays/
 
CTA

関連記事

お問い合わせ
CTA