サプライチェーン攻撃とは
サプライチェーン攻撃は、標的組織を直接攻撃するのではなく、セキュリティが手薄な取引先や委託先を踏み台にして攻撃する手法です。IPAの「情報セキュリティ10大脅威」では組織部門で常に上位にランクインしており、中小企業にとっても深刻なリスクです。
攻撃事例
| 攻撃パターン | 手口 | 影響 |
|---|---|---|
| 委託先経由の侵入 | セキュリティが脆弱な委託先のVPNを突破→本社ネットワークに到達 | 機密情報の漏洩、ランサムウェア感染 |
| ソフトウェアサプライチェーン | ソフトウェアの更新機能にマルウェアを混入 | 大規模な感染拡大(SolarWinds事例) |
| サービスプロバイダ経由 | MSP(マネージドサービスプロバイダ)の管理ツールを悪用 | MSP顧客企業への一斉攻撃 |
| メール踏み台 | 取引先のメールアカウントを乗っ取り、正規の差出人を装い攻撃 | BEC(ビジネスメール詐欺)、マルウェア拡散 |
リスクの構造
サプライチェーンリスクが深刻な理由は以下の3つです。
- 信頼関係の悪用:取引先からのメールやファイルは警戒されにくい
- 攻撃面の拡大:自社のセキュリティが万全でも、取引先が1社でも脆弱なら侵入される
- 発見の遅延:正規の通信経路を使うため、異常を検知しにくい
対策フレームワーク
| 対策レイヤー | 具体的施策 |
|---|---|
| 取引先の評価 | セキュリティチェックシートによる定期評価、ISMS/Pマーク取得状況の確認 |
| 契約による統制 | セキュリティ要件の契約書への明記、インシデント通知義務 |
| アクセス制御 | 取引先アクセスの最小権限化、専用セグメントの分離 |
| 監視 | 取引先接続経路のログ監視、異常通信の検知 |
| ソフトウェア管理 | SBOMの活用、ソフトウェア更新の検証 |
契約での対策
- 秘密保持契約(NDA)にセキュリティ要件を明記
- セキュリティ監査権の確保(年1回の監査実施権)
- インシデント通知義務:発生後24時間以内の報告義務
- 再委託の制限:再委託先のセキュリティ管理を義務化
- 損害賠償条項:セキュリティ事故に起因する損害の賠償
技術的対策
- ゼロトラスト:取引先ネットワークも「信頼しない」前提でアクセス制御
- EDR:取引先経由の侵入を振る舞い検知で早期発見
- メール認証:DMARC/DKIM/SPFで取引先ドメインのなりすましを防止
- SBOM:ソフトウェア部品表で脆弱なコンポーネントを管理
BTNコンサルティングの支援
サプライチェーンセキュリティのリスクアセスメント、取引先向けセキュリティチェックシートの作成、ゼロトラスト設計を支援します。
💡 あわせて読みたい
まとめ
サプライチェーン攻撃はIPAの10大脅威で上位に位置する深刻なリスクです。「取引先評価→契約統制→アクセス制御→監視→ソフトウェア管理」の多層防御で、自社だけでなくサプライチェーン全体のセキュリティを強化しましょう。
サプライチェーンセキュリティの評価方法
| 評価項目 | 確認内容 | 確認方法 |
|---|---|---|
| 取引先のセキュリティ体制 | ISMS(ISO 27001)認証の有無 | 認証書の確認、セキュリティチェックシート |
| アクセス管理 | 共有アカウントの禁止、MFAの導入 | ヒアリング、技術レビュー |
| インシデント対応 | インシデント発生時の報告体制 | 契約書への報告義務の明記 |
| データ保護 | 預託データの暗号化、廃棄ルール | NDA・業務委託契約の確認 |
契約書に盛り込むべきセキュリティ条項
- セキュリティ基準の遵守:「乙は情報セキュリティに関するISO 27001相当の管理体制を維持する」
- インシデント報告義務:「セキュリティインシデント発生時は24時間以内に甲に報告する」
- 監査権:「甲は年1回、乙のセキュリティ対策状況を監査できる」
- データ返却・廃棄:「契約終了時、甲のデータは30日以内に返却・廃棄し、廃棄証明を提出する」
- 再委託の制限:「乙が業務を再委託する場合、甲の事前承認を得ること」