サプライチェーン攻撃は、外部サービスや委託先を経由して侵入し、最終的に標的を攻撃する手法です。

その仕組みと特徴を正しく理解することが第一歩です。

定義と特徴

サプライチェーン攻撃とは、企業が依存している外部サービスや製品を“侵入口”として利用する攻撃手法です。

近年のIT活用においては、クラウドサービスや外部ベンダー、さらにオープンソースライブラリの利用が当たり前となっており、こうした複雑な依存関係こそが攻撃者の格好の標的となっています。

例えば、自社がセキュリティ対策を徹底していても、ソフトウェアの更新プログラムを提供するベンダーのサーバが改ざんされれば、更新ファイルを通じてマルウェアが仕込まれてしまう可能性があります。

こうした攻撃は「水道に不純物を混ぜる」ようなもので、供給されるもの自体が汚染されているため、受け取る側は防ぎにくいのです。

サプライチェーン攻撃の特徴は以下の3点に集約されます。

・標的の間接性：攻撃対象は最終的な大企業や官公庁であっても、実際に狙われるのはその周辺の中小企業や委託業者。

・被害の拡大性：一度侵入に成功すれば、多数の下流企業・顧客に一斉に被害が広がる。

・発見の困難さ：侵入経路が複雑であり、既存のセキュリティ製品では検知が遅れるケースが多い。

このように、サプライチェーン攻撃は「自社だけ守ればよい」という発想を根底から覆す存在なのです。

攻撃の種類と経路分類

サプライチェーン攻撃にはいくつかの典型的な経路があります。

ここでは代表的なものを分類し、それぞれの特徴を整理します。

攻撃者はこれらの複数手法を組み合わせ、見えにくい形で侵入してきます。

したがって、単一の防御策ではなく「多層的な備え」が不可欠です。

具体的事例を知ることで、対策の必要性をより実感できます。

国内外の代表的インシデント

サプライチェーン攻撃は世界各地で深刻な被害をもたらしてきました。

・SolarWinds事件（2020年）

米国のIT管理ソフト「Orion」の更新プログラムにマルウェアが混入し、最大で約1万8千組織が感染しました。

被害には米政府機関や大企業が含まれ、侵入は半年以上も気づかれなかったとされます。

この事件は「供給元の汚染」というサプライチェーン攻撃の危険性を世界に知らしめた事例です。

・NotPetya攻撃（2017年）

ウクライナで普及していた会計ソフトの更新サーバが改ざんされ、マルウェアが世界中に拡散しました。

物流大手や製造業、医療機関まで影響を受け、推定被害総額は約100億ドル規模といわれますが、推計には幅があると報告されています。

・Kaseya攻撃（2021年）では、リモート管理ソフトのゼロデイ脆弱性が突かれ、マネージドサービス事業者を経由して攻撃が拡散。

最大約1,500社の企業が影響を受けたとされます。 これらの事例は「大企業だけでなく、外部の小さな供給者やソフト更新の一部が突破口になる」ことを明確に示しており、世界的にサプライチェーン対策の必要性を突き付けました。

中小企業や自治体に広がる被害

サプライチェーン攻撃は大企業だけの問題ではありません。

むしろ攻撃者にとって狙いやすいのはセキュリティ資源が限られる中小企業や自治体です。

例えば、大阪急性期・総合医療センター（2023年）では、給食委託業者が利用するネットワークが侵害され、その経路を通じて病院のシステムに不正アクセスが及びました。

委託先という「弱いリンク」を突かれた典型的なケースです。 中小企業では、取引先の大企業システムに接続するための認証情報が狙われることが多く、一度盗まれると大企業への踏み台として利用されます。

これは「サプライチェーン全体のセキュリティ水準が最も弱いところに引きずられる」という現実を表しています。

また自治体においても、システム保守業者や外部委託先のアカウント経由で侵入されるケースが増加傾向にあり、業務停止や住民サービスへの影響が深刻です。

こうした事例は、サプライチェーン攻撃が規模や業種を問わず全ての組織を標的にし得る脅威であることを如実に示しています。

攻撃は開発工程と運用工程を狙うため、両面で多層的な対策が必要です。

開発・運用プロセスにおける対策

開発工程での防御はサプライチェーン攻撃対策の核心です。

特にCI/CDパイプラインは要注意です。ビルド環境に侵入されると正規更新に不正コードが混入するため、アクセス権限の最小化や隔離環境の導入、ビルド成果物への署名付与が必須です。

次に注目されるのがSBOM（Software Bill of Materials）です。

利用しているOSSライブラリやパッケージの一覧を可視化する仕組みで、脆弱性が発見された際に影響範囲を即座に把握できます。

日本ではIPAが2024年12月に「SBOM導入・運用の手引」を公開し、2025年には国際共同ガイダンスに日本政府も署名しました。

国内で義務化はされていませんが、今後の国際調達要件を踏まえ、先行導入が推奨されています。

さらに再現可能ビルドは、同一ソースから常に同じバイナリが生成されることを確認する取り組みです。

ただし現場導入は難易度が高いため、SLSA（Supply chain Levels for Software Artifacts）を指標に段階的に進めることが現実的です。

まずは署名や環境分離から導入し、将来的に再現可能化を目指す流れが有効です。

システム運用・監視での対策

開発工程だけでなく運用段階でも多層防御が求められます。

まず重要なのはゼロトラストモデルの導入です。

ネットワーク内部であっても「すべてのアクセスは信用しない」という原則で認証・制御を行い、不正な横展開を防ぎます。

また、特権ID管理も必須です。

委託業者や一部ユーザーに広範な権限を与えると、侵害時の被害が甚大になるため、最小権限化とジャストインタイムアクセスを導入することでリスクを軽減します。

加えて、ログ監視や異常検知も欠かせません。

通常ではあり得ない挙動を検知するために、SIEMやAIを活用したリアルタイム分析が推奨されます。

さらにパッチ管理も重要です。委託先を含め全てのソフトウェアを常に最新に保つことで、既知の脆弱性を突かれるリスクを下げられます。

これらを組み合わせることで、サプライチェーン攻撃に対する実効的な多層防御が可能になります。

外部管理と内部教育が欠かせません。

委託先・取引先管理の重要性

サプライチェーン攻撃は外部委託先を突破口とするため、ベンダー管理と契約面での担保が不可欠です。

契約時にはインシデント報告義務や改善義務を盛り込み、違反時の対応も明文化することが重要です。

認証の活用も有効ですが、ISMAPは政府クラウド向け制度であるため民間調達では適用範囲を確認する必要があります。

民間企業ではISO27001やSOC 2などの認証取得状況を確認する方が現実的です。

また、契約後も定期的な監査やレビューを行い、ベンダーの水準を維持することが重要です。

チェックリスト形式で点検することで、定量的な評価が可能になります。

人材教育・内部統制

システムや契約が堅牢でも、人の操作ミスが突破口になります。

そのため、人材教育と内部統制は防御の柱です。

全社員を対象としたセキュリティ研修に加え、模擬攻撃やインシデント対応訓練で実践的な対応力を養うことが効果的です。

内部統制では職務分掌を徹底し、開発・運用の権限を分けることで不正や誤設定を防止します。

さらにCSIRT（セキュリティ対応チーム）を設置し、インシデント発生時に誰がどう対応するかを明確化することが重要です。

国内外の制度・基準を理解して備えることは、実務での裏付けになります。

国内外の制度・標準

2025年4月、経産省は「サプライチェーン対策評価制度」の中間とりまとめを公表しました。

制度開始は2026年度を目指しており、現時点では導入済みではありません。

また、IPAの手引書は委託先管理の実務に役立ちますが、ソフトウェア供給網（SBOM等）は範囲外である点に注意が必要です。

国際的にはNIST SP800-161（C-SCRM）やISO/IEC 20243（O-TTPS）が主要な基準であり、国内外の取引を行う企業はこれらも併読し準拠することが求められています。

業界別・国際動向

金融業界ではシステム監査が厳格に行われ、医療業界では患者データ保護を背景に委託先管理の強化が進んでいます。

製造業ではIoT機器や生産ラインの改ざんリスクが大きな懸念です。

国際的には欧州GDPRや米国の政策が影響力を持ち、日本企業も国際調達の際に「セキュリティ証明」を求められるケースが増加しています。

国内では経営層に向けてサイバーセキュリティ経営ガイドラインVer3.0が提示されており、サプライチェーン全体の把握をKPIとして可視化することが推奨されています。

初期診断とリスク評価

まずは資産棚卸しを行い、どの委託先・ソフトウェアに依存しているかを明確化します。

続いて自己診断シートを用いて脆弱ポイントを洗い出し、優先度を設定します。

たとえば「契約条項の不備」「監視体制の不在」「SBOM未導入」などが抽出されるでしょう。

これにより、改善の順序を合理的に決められます。

段階的な導入ロードマップ

フェーズ1：基礎整備（資産棚卸し、契約見直し、教育研修）

フェーズ2：外部管理強化（委託先監査、アクセス制御、特権ID管理）

フェーズ3：高度化（SBOM導入、ゼロトラスト化、AI監視）

このように段階的に進めることで、中小企業でも現実的に対策を実行できます。

新しい攻撃動向

最近の注目は依存パッケージ連鎖攻撃です。

ひとつのOSSライブラリの脆弱性が、多数のソフトに連鎖的影響を及ぼします。

また、生成AIの普及により、AI生成コードに脆弱性が混入するリスクや、AIツールを通じたマルウェア流入の懸念が議論され始めています。

ただし現段階では「議論段階」であり、断定ではなくSCAやSBOM、コードレビューの徹底が現実的な対応策とされています。

今後の企業課題

大きな課題はコストと効果のバランスです。

高度なセキュリティを導入できる大企業と、予算制約で対策が遅れる中小企業とのセキュリティ格差は拡大しています。

さらに人材不足により外部依存が進み、結果としてサプライチェーン全体が弱体化するリスクがあります。

今後は産業横断的なエコシステム形成によって、中小企業や自治体も含めた底上げが必要です。

サプライチェーン攻撃は、自社単独では防ぎきれない複雑なリスクです。

2025年現在、経産省の制度設計やIPA手引、国際的なSBOMガイドライン、SLSAなど新しいフレームワークが次々と登場しています。

企業はこれらを組み合わせ、「技術」「組織」「制度」の三位一体で対策を講じる必要があります。

今すぐ始められるアクションは以下の3点です。

・現状把握と依存関係の可視化：資産棚卸しとリスク診断から着手する。

・契約見直しと委託先管理：報告義務や監査を契約で担保する。

・継続的な監視と改善：ゼロトラストやログ監視を運用に組み込み、改善を回す。

サプライチェーン攻撃は進化を続けます。

だからこそ「一度やれば終わり」ではなく、継続的に改善を積み重ねる姿勢が最も重要な防御策となるのです。