サプライチェーン攻撃を簡単に言うと？

あなたが毎朝飲む牛乳に、誰かが毒を混入させる状況を想像してください。ただし、毒を入れるのはあなたの自宅の冷蔵庫ではなく、牛乳工場の生産ラインです。工場は厳重に警備されていますが、攻撃者は工場に納品される飼料メーカーや、配送トラックの会社、さらには工場の機械を保守する業者に侵入し、そこから牛乳に毒を混入させます。
あなたは信頼できる牛乳メーカーの製品を購入しているので、全く疑うことなく飲んでしまいます。そして、同じ牛乳を買った数千人、数万人が同時に被害に遭います。牛乳メーカー自体はセキュリティを強化していても、その取引先や関連業者のセキュリティが脆弱であれば、そこが侵入経路になります。
デジタルの世界では、攻撃者は大企業や政府機関に直接侵入するのではなく、その企業が利用しているソフトウェアベンダー、クラウドサービス事業者、IT管理ツール提供会社、部品メーカーなどを経由して、不正なコードを「正規の製品」として配布します。信頼されているルートを通るため、誰も疑わず、セキュリティソフトもブロックせず、被害が広範囲に及びます。

初期のサプライチェーン攻撃（2000年代）

2000年代には、ハードウェアレベルでのサプライチェーン攻撃が懸念され始めました。製造過程でチップに不正な機能を埋め込む「ハードウェアバックドア」の可能性が指摘されましたが、実際の大規模な被害事例は限られていました。この時期は主に理論的な脅威として認識されていました。

ソフトウェアサプライチェーン攻撃の台頭（2010年代前半）

2013年のTarget社へのサプライチェーン攻撃は、大きな転換点となりました。攻撃者はTarget社に直接侵入するのではなく、同社が利用していた空調設備管理会社のシステムに侵入し、そこからTarget社のネットワークにアクセスして、約4000万件のクレジットカード情報を盗みました。この事件は、取引先のセキュリティが自社の安全性に直結することを明確に示しました。

高度な攻撃の増加（2010年代後半）

2017年のCCleaner攻撃では、人気のシステム最適化ソフトウェアの正規の更新プログラムにマルウェアが埋め込まれ、約230万のユーザーに配布されました。攻撃者は開発会社のビルドシステムに侵入し、正規のビルドプロセスの中にバックドアを組み込むという高度な手法を使いました。
同年のNotPetya攻撃（厳密にはワイパー系マルウェア）も、ウクライナの会計ソフトウェアの更新機能を悪用したサプライチェーン攻撃でした。ウクライナを中心に世界中に被害が拡大し、Maerskなどの大企業が数億ドルの損失を被りました。

国家レベルの攻撃の顕在化（2020年代）

2020年に発覚したSolarWinds攻撃は、サプライチェーン攻撃の脅威を世界に知らしめました。ロシアの国家支援を受けているとされる攻撃グループが、SolarWinds社のネットワーク管理ソフトウェア「Orion」の更新プログラムにマルウェアを埋め込み、約18,000の顧客組織に配布しました。アメリカの政府機関、Fortune 500企業、セキュリティ企業などが被害を受け、数ヶ月間気づかれずに機密情報が盗まれ続けました。
2021年のKaseya攻撃では、IT管理ソフトウェアの脆弱性を悪用し、マネージドサービスプロバイダー（MSP）を経由して、その顧客企業約1,500社にランサムウェアが一斉に配信されました。これは、サプライチェーン攻撃とランサムウェアを組み合わせた新しいタイプの攻撃でした。

現在のトレンド（2020年代中盤）

現在、サプライチェーン攻撃はさらに多様化・高度化しています。オープンソースソフトウェアの依存関係を狙った攻撃、クラウドサービスのサプライチェーンを標的とした攻撃、AIと機械学習を利用した攻撃の自動化などが見られます。また、攻撃の発見から公表までの期間が長く、多くの攻撃が水面下で進行している可能性が指摘されています。

ソフトウェアサプライチェーン攻撃

最も一般的なタイプで、ソフトウェアの開発、配布、更新のプロセスのどこかに不正なコードを埋め込みます。開発環境への侵入、ビルドシステムの改ざん、更新サーバーの乗っ取り、コード署名証明書の窃取などの手法が使われます。SolarWinds、CCleaner、ASUS LiveUpdateなどがこのタイプです。

オープンソースサプライチェーン攻撃

オープンソースのライブラリやパッケージに悪意のあるコードを混入させる攻撃です。人気のあるパッケージの管理者アカウントを乗っ取る、タイポスクワッティング（似た名前のパッケージを登録）、正規のパッケージに悪意のある依存関係を追加するなどの手法があります。npm、PyPI、RubyGemsなどのパッケージリポジトリが標的となります。

ハードウェアサプライチェーン攻撃

製造過程でハードウェアに不正なチップやバックドアを埋め込む攻撃です。実際の大規模な被害事例は公開されていませんが、国家安全保障上の重大な懸念として認識されています。特に重要インフラや軍事システムで使用されるハードウェアのサプライチェーンが注目されています。

サービスプロバイダー経由の攻撃

マネージドサービスプロバイダー（MSP）、クラウドサービス事業者、ITサポート会社などを経由した攻撃です。これらのプロバイダーは多数の顧客企業のシステムにアクセス権を持っているため、一度侵入すれば複数の標的に到達できます。Kaseya攻撃がこのタイプの代表例です。

物流・製造サプライチェーン攻撃

物理的な配送プロセスを悪用する攻撃です。輸送中のハードウェアを傍受して改ざんする、偽造品を正規品として流通させるなどの手法があります。サイバー攻撃と物理的な攻撃の境界線上に位置します。

ビジネスパートナー経由の攻撃

信頼されているビジネスパートナーや子会社を経由した攻撃です。Target社への攻撃のように、取引先のシステムから侵入し、本来の標的企業のネットワークにアクセスします。VPN接続やリモートアクセスが悪用されることが多いです。

サプライチェーン攻撃で発生する直接的被害

広範囲な同時感染とマルウェアの拡散

サプライチェーン攻撃では、信頼されているソフトウェアの更新プログラムやクラウドサービスを通じて、多数の組織に同時にマルウェアが配布されます。2020年のSolarWinds攻撃では、同社のネットワーク管理ソフトウェア「Orion」の更新を通じて、約18,000の顧客組織にマルウェアが配信されました。正規の更新として配布されるため、セキュリティソフトでも検知されず、デジタル署名も正規のものであるため、誰も疑うことなくインストールします。長期間気づかれないまま感染が広がり、攻撃者はネットワーク内で自由に活動できる状態が数ヶ月から数年間も続くことがあります。

機密情報の大規模流出

サプライチェーン攻撃で侵入した攻撃者は、政府機関、大企業、重要インフラ、セキュリティ企業など、価値の高い標的から機密情報を盗み出します。外交機密、軍事情報、企業秘密、顧客データベース、知的財産、M&A情報、新製品開発データなど、国家安全保障や経済競争力に関わる情報が流出します。侵入経路が信頼されているため、攻撃者は数ヶ月から数年間も気づかれずにネットワーク内で活動し、重要な情報を収集し続けます。SolarWinds攻撃では、アメリカ国務省、財務省、国土安全保障省、エネルギー省などの政府機関から情報が盗まれたとされています。

システムの完全制御とバックドアの設置

サプライチェーン攻撃を通じて侵入した攻撃者は、システムの深い層に永続的なバックドアを設置し、いつでも再侵入できる状態を作ります。たとえ最初の侵入が発見されて対処されても、複数のバックドアが異なる場所に残されているため、完全な駆除が極めて困難です。攻撃者はシステムの深い層（カーネルレベルやファームウェアレベル）に潜伏し、管理者権限を奪取してシステム全体を支配します。OSの再インストールだけでは除去できないバックドアもあり、ハードウェアの交換が必要になることもあります。

重要インフラへの侵入と制御

サプライチェーン攻撃は、電力、水道、通信、交通などの重要インフラを標的とすることもあります。これらのシステムを制御する産業制御システム（ICS）やSCADAシステムは、従来ネットワークから隔離されていましたが、効率化のためにインターネットに接続されるようになり、サプライチェーン攻撃の標的となりました。重要インフラへの攻撃は、社会全体に壊滅的な影響を与える可能性があります。

知的財産の窃取と競争力の喪失

企業の研究開発データ、設計図、特許情報、製造プロセス、ビジネス戦略などが盗まれると、競合他社（特に外国企業）がそれを利用して同等または類似の製品を短期間で開発できます。数年かけて開発した技術が一瞬で無価値になり、市場での優位性を完全に失います。特に半導体、航空宇宙、製薬などの先端技術分野では、知的財産の価値が極めて高く、その窃取は企業の存続に関わる問題です。

サプライチェーン攻撃で発生する間接的被害

信頼関係の崩壊とビジネスへの影響

サプライチェーン攻撃が発覚すると、攻撃の起点となった供給元企業は顧客からの信頼を完全に失います。SolarWinds攻撃後、同社の株価は約20%下落し、多数の顧客が契約を解除しました。新規顧客の獲得も困難になり、場合によっては倒産に至ることもあります。また、攻撃を受けた側の企業も「セキュリティ管理が甘い」「サプライヤー管理ができていない」と見なされ、取引先からの信用を失います。サプライチェーン全体で信頼関係が損なわれ、長年築いてきたビジネス関係が崩壊します。

膨大な調査・復旧コストと法的責任

サプライチェーン攻撃からの復旧には、侵入経路の特定、影響範囲の調査、全システムの精査、マルウェアの完全な除去など、通常の攻撃よりはるかに複雑で時間がかかる作業が必要です。どこから侵入されたのか、どのシステムが影響を受けたのか、どのような情報が盗まれたのか、バックドアはすべて除去されたのか、といった調査に数ヶ月から数年かかることもあります。フォレンジック調査、セキュリティ専門家への依頼、コンサルティング費用、システムの再構築などで、数億円から数十億円のコストが発生します。さらに、顧客情報が流出した場合の法的責任、賠償金、集団訴訟、監督官庁への対応なども加わります。

サプライチェーン全体への波及効果

サプライチェーン攻撃が一つの企業で発生すると、そのサプライチェーン全体に影響が波及します。上流の供給元が操業停止すれば、下流の製造業は部品が入手できずに生産が止まります。物流が停止すれば、小売業は商品を販売できません。IT管理ツールが侵害されれば、そのツールを使っている全企業が影響を受けます。一つの企業の問題が、産業全体、地域全体、場合によっては国全体の経済活動に影響を与えます。

国家安全保障への脅威と地政学的影響

政府機関や重要インフラへのサプライチェーン攻撃は、国家安全保障に直結します。外国の政府が関与する高度な攻撃（APT）では、軍事機密、外交情報、諜報活動、重要インフラの制御システムなどが標的となり、国家間の緊張を高めます。SolarWinds攻撃後、アメリカ政府はロシアに対して制裁を発動し、外交問題に発展しました。クラウド・ソフトの供給リスクは、単なる企業のセキュリティ問題を超えて、国際的な安全保障問題、地政学的な対立の焦点にまで発展する可能性があります。

長期的な経済的影響と市場の歪み

サプライチェーン攻撃への懸念は、企業の調達戦略や市場構造にも影響を与えます。特定の国や地域の製品を避ける動き、サプライチェーンの多様化や国内回帰、コストよりもセキュリティを優先する調達方針などが広がっています。これらは短期的にはコスト増につながり、長期的には市場の効率性を低下させる可能性があります。

限られた予算での対応の不可能性

中小規模のサプライヤーは、サイバーセキュリティに割ける予算が極めて限られています。サプライチェーン攻撃を受けた場合、専門的なフォレンジック調査、システムの全面的な再構築、法律事務所への相談、広報対応などに数千万円から数億円のコストがかかりますが、多くの中小企業にとってこれは年間売上の大部分、あるいはそれ以上に相当します。復旧に必要な資金を調達できず、事業を継続できなくなるケースが少なくありません。銀行からの融資も、サイバー攻撃を受けた企業に対しては厳しく、資金繰りが行き詰まります。

専門人材の不在と技術的対応能力の欠如

中小企業には、サイバーセキュリティの専門家が社内におらず、情報システム担当者も他の業務と兼任していることがほとんどです。サプライチェーン攻撃のような高度な攻撃を受けた場合、何が起きているのか理解できず、どう対応すればいいのか分からず、貴重な初動対応の時間を失います。外部の専門家に依頼するにも、どの業者を選べばいいのか、適正な価格はいくらなのか、何を依頼すればいいのかさえ判断できません。結果として、不適切な対応により被害が拡大したり、悪質なコンサルタントに高額な費用を請求されたりします。

大口取引先からの契約解除と収入源の喪失

サプライチェーン攻撃の侵入経路となった中小サプライヤーは、大企業の顧客から「セキュリティ管理が不十分」と判断され、契約を解除されます。多くの中小企業は、数社の大口取引先に収入の大部分を依存しているため、主要顧客を失うことは即座に経営危機を意味します。さらに、「サプライチェーン攻撃の原因となった企業」という評判が業界内で広まり、他の取引先も離れていきます。新規顧客の開拓も、「過去にサイバー攻撃を受けた」という事実が障害となり、極めて困難になります。

保険の不適用と賠償責任の直接負担

中小企業の多くはサイバー保険に加入していないか、加入していても補償範囲が限定的です。保険に加入していても、「基本的なセキュリティ対策を怠っていた」と判断されれば保険金が支払われません。一方、顧客企業から「あなたの会社が侵入経路になったことで、当社は数億円の損害を被った」として損害賠償を請求されることがあります。裁判で争うにも弁護士費用が払えず、示談に応じざるを得ません。しかし、その賠償金を支払う能力もなく、結果として倒産に至ります。

風評被害と地域経済への影響

サプライチェーン攻撃の被害を受けた中小企業は、地域のメディアで報道され、「サイバーセキュリティが甘い会社」というレッテルを貼られます。従業員の家族や地域社会からも非難され、優秀な人材が離職します。採用活動も困難になり、残った従業員の士気も低下します。地域の主要企業が倒産すれば、下請け企業や関連業者も連鎖的に影響を受け、地域経済全体が衰退します。特に地方の中小企業の場合、一社の倒産が地域社会に与える影響は計り知れません。

再建の困難さと廃業の連鎖

大企業であれば、サプライチェーン攻撃から復旧した後、時間をかけて信頼を回復し、事業を再建できる可能性があります。しかし、中小企業の場合、一度失った信頼を取り戻すことは極めて困難です。限られた資金で事業を継続しながら、セキュリティ対策を強化し、新規顧客を開拓し、従業員を維持するという多重の課題に直面しますが、これを乗り越えられる企業は少数です。経営者の高齢化や後継者不在も相まって、サプライチェーン攻撃をきっかけに廃業を決断するケースが増えています。これは日本の製造業やIT産業の技術基盤を脆弱化させる深刻な問題です。

業界全体の信頼性低下

一つの中小サプライヤーがサプライチェーン攻撃の侵入経路となると、「中小企業はセキュリティが甘い」という認識が業界全体に広がります。実際には多くの中小企業が限られた予算の中で最大限の努力をしているにもかかわらず、一部の事例が全体のイメージを悪化させます。大企業は中小企業への発注を躊躇するようになり、中小企業全体がビジネス機会を失います。これは産業構造全体を変化させ、大企業への集中が進み、多様性が失われる結果を招きます。

支援体制の不備と政策の遅れ

多くの国で、大企業や重要インフラのサイバーセキュリティ対策には予算や支援が割り当てられていますが、中小企業への支援は不十分です。セキュリティ対策の補助金、専門家の派遣、教育プログラム、サイバー保険の普及支援などが必要ですが、実際には十分に機能していません。中小企業自身も、サイバーセキュリティの重要性を認識しながらも、日々の経営に追われて後回しにせざるを得ない状況にあります。この「意識と現実のギャップ」が、サプライチェーン全体の脆弱性を生み出しています。

第1段階：標的の選定と偵察

攻撃者は、最終的な標的（政府機関、大企業、重要インフラなど）を決定した後、その標的に到達するための最適なサプライチェーンの経路を探します。標的企業が利用しているソフトウェアベンダー、クラウドサービス、マネージドサービスプロバイダー、取引先などを調査し、最もセキュリティが脆弱で、かつ多数の標的にアクセスできる「ハブ」となる企業を特定します。

第2段階：サプライチェーンの侵入点への攻撃

特定したサプライヤーや取引先に対して、フィッシング攻撃、脆弱性の悪用、内部関係者の買収などの手法で侵入します。大企業に比べてセキュリティ対策が手薄な中小企業が狙われやすい傾向があります。この段階では、まだ最終的な標的には到達していません。

第3段階：開発・配布環境への侵入

サプライヤーのシステムに侵入した後、攻撃者はソフトウェアの開発環境、ビルドシステム、更新サーバー、コード署名証明書などを標的とします。ここに不正なコードを埋め込むことで、正規のプロセスを通じてマルウェアを配布できます。SolarWinds攻撃では、ビルドシステムに侵入して自動ビルドプロセスの中にバックドアを組み込みました。

第4段階：不正なコードの埋め込み

ソフトウェアのソースコードに直接バックドアを追加する、ビルドプロセスで自動的にマルウェアを組み込む、更新パッケージを改ざんするなどの方法で、不正なコードを正規の製品に混入させます。この際、既存のコード署名証明書を使って署名することで、正規の更新として認識されるようにします。

第5段階：配布と拡散

改ざんされたソフトウェア更新が、通常の配布チャネルを通じて顧客に配信されます。ユーザーは信頼している供給元からの正規の更新だと思い、何の疑いもなくインストールします。セキュリティソフトもデジタル署名を確認して正規のプログラムと判断するため、ブロックされません。

第6段階：選択的な活動

多数の組織にマルウェアが配布されますが、攻撃者はすべての感染端末を悪用するわけではありません。価値の高い標的（政府機関、大企業、セキュリティ企業など）を選別し、そこでのみバックドアを活性化させます。これにより、検知のリスクを減らしつつ、最も価値の高い情報を狙います。

第7段階：横展開と権限昇格

選択した標的のネットワーク内で、攻撃者は慎重に活動を拡大します。ネットワーク内の他のシステムに横展開し、管理者権限を奪取し、重要なデータが保存されているサーバーやデータベースにアクセスします。通常のシステム管理ツールや正規のプロトコルを使って活動するため、異常として検知されにくくなっています。

第8段階：データの窃取

最終的に、機密情報、顧客データ、知的財産、認証情報などを盗み出します。大量のデータを一度に転送すると検知されるため、少量ずつ、通常のトラフィックに紛れて外部に送信します。この活動が数ヶ月から数年間続くこともあります。

第9段階：永続化と隠蔽

攻撃者は複数のバックドアを異なる場所に設置し、一つが発見されても他の経路で再侵入できるようにします。また、ログを改ざんして活動の痕跡を消し、検知を困難にします。

SolarWinds攻撃（2020年）

最も有名で影響力の大きかったサプライチェーン攻撃です。ロシアの国家支援を受けているとされるAPT29（Cozy Bear）が、SolarWinds社のネットワーク管理ソフトウェア「Orion」のソースコードに「SUNBURST」と呼ばれるバックドアを埋め込みました。
2020年3月から6月にかけて配布された更新プログラムに不正なコードが含まれており、約18,000の顧客組織にマルウェアが配信されました。攻撃者は、アメリカ政府機関（国務省、財務省、国土安全保障省、エネルギー省など）、Fortune 500企業、セキュリティ企業（FireEye、Microsoft）などの価値の高い標的を選別して活動しました。
攻撃は2020年12月にFireEyeが自社への侵入を発見するまで、約9ヶ月間気づかれませんでした。発見後の調査で、バックドアがソフトウェアのビルドプロセスに組み込まれていたこと、非常に高度な技術が使われていたこと、広範囲に影響が及んでいたことが明らかになりました。
この攻撃により、サプライチェーン攻撃の脅威が世界的に認識され、アメリカ政府はサイバーセキュリティに関する大統領令を発令し、SBOM（ソフトウェア部品表）の義務化などの対策を進めることになりました。

Kaseya攻撃（2021年7月）

REvil（Sodinokibi）ランサムウェアグループが、IT管理ソフトウェアを提供するKaseya社のVSA（Virtual System Administrator）製品の脆弱性を悪用した攻撃です。KaseyaのVSAは、マネージドサービスプロバイダー（MSP）が顧客企業のITシステムを遠隔管理するために使用するツールです。
攻撃者はVSAの脆弱性を突いてMSPのシステムに侵入し、そのMSPが管理している顧客企業約1,500社に一斉にランサムウェアを配信しました。独立記念日の週末（アメリカで多くの企業が休業している時期）を狙って攻撃を実行し、対応を遅らせました。
攻撃者は、すべての被害者を一括で復号する「ユニバーサルデクリプター」と引き換えに、7000万ドルという前例のない高額な身代金を要求しました。この攻撃は、サプライチェーン攻撃とランサムウェアを組み合わせた新しいタイプの脅威として注目されました。

CCleaner攻撃（2017年）

人気のシステム最適化ソフトウェアCCleanerの正規の更新プログラムにマルウェアが埋め込まれた事件です。攻撃者は開発元のPiriform社（Avast傘下）のビルドシステムに侵入し、2017年8月から9月にかけて配布されたバージョン5.33にバックドアを組み込みました。
約230万のユーザーが感染したバージョンをダウンロードしましたが、攻撃者は特定の価値の高い標的（大手テクノロジー企業、通信企業など）のみでバックドアを活性化させました。中国の国家支援を受けているAPTグループの関与が疑われています。
この攻撃は、開発環境のセキュリティの重要性と、ビルドプロセス全体の監視の必要性を示しました。

Target社への攻撃（2013年）

小売大手のTarget社が、空調設備管理を委託していた取引先企業のシステムを経由して侵入された事件です。攻撃者はまず、取引先の小規模な空調設備会社に対してフィッシング攻撃を仕掛けて侵入し、そこからTarget社のネットワークにアクセスするための認証情報を盗みました。
Target社のネットワークに侵入した攻撃者は、約4000万件のクレジットカード情報と7000万件の個人情報を盗み出しました。この事件により、Target社は2億5000万ドル以上の損失を被り、CEOが辞任する事態となりました。
この攻撃は、取引先のセキュリティが自社の安全性に直結することを明確に示し、サードパーティリスク管理の重要性が広く認識されるきっかけとなりました。

ASUS LiveUpdate攻撃（2019年）

台湾のコンピュータメーカーASUSの自動更新ツール「LiveUpdate」が侵害され、約100万台のPCにマルウェアが配信された事件です。攻撃者は、ASUSの正規のコード署名証明書を使ってマルウェアに署名し、正規の更新として配布しました。 ただし、攻撃者は特定のMACアドレスを持つ約600台のPCのみでマルウェアを活性化させました。これは非常に標的を絞った攻撃で、特定の個人や組織を狙ったものと考えられています。この攻撃も、中国の国家支援を受けているAPTグループの関与が疑われています。

NotPetya攻撃（2017年）

ウクライナの会計ソフトウェア「MeDoc」の更新機能を悪用した攻撃です。ロシアの軍事情報機関が関与しているとされ、ウクライナへの攻撃を目的としていましたが、世界中に被害が拡大しました。
表面上はランサムウェアを装っていましたが、実際にはデータを復元不可能な形で破壊するワイパー系マルウェアでした。Maersk、Merck、FedEx、Mondelēz Internationalなどの多国籍企業が甚大な被害を受け、総被害額は100億ドル以上と推定されています。

可視性の限界：見えないリスク

企業は通常、自社のシステムやネットワークについては詳細な可視性を持っていますが、取引先やサービスプロバイダーの内部システムについてはほとんど見えません。どのようなセキュリティ対策が実施されているのか、脆弱性が存在するのか、既に侵害されているのか、といった情報を把握することが困難です。
さらに深刻なのは「N次サプライヤー」の問題です。直接の取引先（1次サプライヤー）のセキュリティは確認できても、その取引先がさらに利用している2次、3次のサプライヤーまで遡ると、もはや可視性は皆無に近くなります。しかし、攻撃者はその最も脆弱な一点を突いてきます。

契約上の制約と法的な限界

企業が取引先のセキュリティ対策を強制することには限界があります。契約で一定のセキュリティ基準を要求できますが、実際にそれが遵守されているかを継続的に監視することは困難です。特に、取引先が中小企業の場合、高度なセキュリティ対策を要求すると、コスト負担が大きく、取引自体が成立しなくなる可能性があります。
また、海外の取引先の場合、法制度や文化の違いにより、セキュリティに対する考え方や優先度が異なることがあります。「個人情報保護」「セキュリティ監査」といった概念自体が十分に理解されていない地域もあります。

コストとリソースの問題

すべての取引先に対して定期的なセキュリティ監査を実施することは、膨大なコストとリソースを必要とします。大企業でも数百から数千の取引先があり、それぞれに対して年1回の監査を実施するだけでも、専任のチームと数億円の予算が必要になります。
中小企業にとっては、さらに困難です。自社のセキュリティ対策でさえ十分なリソースを割けない状況で、取引先のセキュリティまで管理することは現実的ではありません。しかし、攻撃者はまさにそのような「管理の隙間」を狙ってきます。

技術的な複雑性

現代のITシステムは、クラウドサービス、SaaS、オープンソースライブラリ、APIなど、数え切れないほどの外部コンポーネントに依存しています。一つのウェブアプリケーションでさえ、数百のJavaScriptライブラリ、数十のAPIサービス、複数のクラウドプラットフォームを使用しているのが普通です。
これらすべての依存関係のセキュリティを管理することは技術的に極めて困難です。SBOM（ソフトウェア部品表）を作成しても、それを常に最新の状態に保ち、各コンポーネントの脆弱性情報を追跡し、影響範囲を評価することは、高度な自動化ツールと専門知識を必要とします。

ビジネス要求とセキュリティのトレードオフ

ビジネスの観点からは、コストが安く、納期が短く、機能が豊富なサプライヤーを選びたいという要求があります。しかし、セキュリティの観点からは、高度なセキュリティ対策を実施している、監査に協力的な、透明性の高いサプライヤーを選ぶべきです。
この二つの要求は必ずしも一致しません。最も安価な海外のサプライヤーは、セキュリティ対策が不十分かもしれません。最速で開発できるベンチャー企業は、セキュリティよりもスピードを優先しているかもしれません。ビジネス部門とセキュリティ部門の間で対立が生じ、結果として妥協的な判断がされることがあります。

信頼の連鎖の脆弱性

サプライチェーンは「信頼の連鎖」で成り立っています。企業は信頼できるサプライヤーから製品やサービスを購入し、そのサプライヤーはさらに上流のサプライヤーを信頼しています。しかし、この連鎖のどこか一点でも裏切られれば、全体が崩壊します。
SolarWinds攻撃が示したように、最も信頼されているサプライヤー、最も評判の良い製品でさえ、侵害される可能性があります。「信頼できる」という前提そのものが、サプライチェーン攻撃の時代には成立しなくなっています。しかし、信頼なしにビジネスは成立しません。このジレンマが、サプライチェーン攻撃対策を困難にしています。

対策の非対称性

企業が防御側として完璧なセキュリティ対策を実施するには、すべての取引先、すべての依存関係、すべての可能性のある脆弱性に対応する必要があります。一方、攻撃者は最も脆弱な一点を見つければ成功します。
この非対称性は、攻撃者に圧倒的に有利です。防御側は100%成功しなければならないのに対し、攻撃者は1%の成功率でも十分です。さらに、攻撃者は無限の時間をかけて最も脆弱な標的を探せますが、企業は限られた予算と時間で対策を実施しなければなりません。

グローバル化の副作用

グローバルなサプライチェーンは、コスト削減と効率化をもたらしましたが、同時にセキュリティリスクも増大させました。製造が東南アジア、ソフトウェア開発がインド、クラウドサービスがアメリカ、サポートが東欧といったように、複数の国や地域にまたがるサプライチェーンでは、統一されたセキュリティ基準を適用することが困難です。
さらに、地政学的な緊張により、特定の国や地域のサプライヤーに対する不信感が高まっています。しかし、完全に国内のサプライヤーのみに依存することは、コスト面でも供給能力の面でも現実的ではありません。

解決の方向性

これらの困難にもかかわらず、サプライチェーン攻撃への対策は必須です。完璧な解決策はありませんが、以下のような多層的なアプローチが推奨されます。
まず、リスクベースのアプローチです。すべての取引先を同じレベルで管理するのではなく、リスクの高いもの（重要なシステムへのアクセス権を持つ、機密情報を扱う、代替が困難など）を優先的に管理します。
次に、ゼロトラストの原則です。「信頼できるサプライヤー」という前提を捨て、すべてのアクセスを検証し、最小権限の原則を徹底します。サプライヤーからの通信も、内部からの通信と同じレベルで監視します。
さらに、業界全体での協力です。一企業だけでサプライチェーン全体のセキュリティを管理することは不可能であり、業界団体、政府、セキュリティコミュニティが協力して、標準化、情報共有、ベストプラクティスの普及を進める必要があります。
最後に、継続的な改善です。サプライチェーン攻撃の手法は常に進化しており、一度対策を実施すれば終わりではありません。継続的な監視、評価、改善のサイクルを回し続けることが不可欠です。

サプライヤーのセキュリティ評価と管理

契約前のセキュリティ評価

新しいサプライヤーやサービスプロバイダーと契約する前に、詳細なセキュリティ評価を実施します。セキュリティポリシーの有無、過去のインシデント履歴、セキュリティ認証（ISO 27001、SOC 2など）の取得状況、ペネトレーションテストの実施頻度などを確認します。

継続的なリスク評価

契約後も、定期的（最低年1回）にサプライヤーのセキュリティレベルを再評価します。四半期ごとのセキュリティ質問票、年次監査、インシデント報告の義務化などを契約に含めます。

サプライヤーの階層化とリスクベース管理

すべてのサプライヤーを同じレベルで管理するのではなく、重要度とリスクに応じて階層化します。重要なシステムへのアクセス権を持つサプライヤー、機密情報を扱うサプライヤー、代替が困難なサプライヤーなどを「高リスク」として、より厳格に管理します。

ソフトウェアの完全性検証

デジタル署名とハッシュ値の検証: ソフトウェアの更新プログラムやダウンロードしたファイルが改ざんされていないか、デジタル署名とハッシュ値を必ず確認します。自動化ツールを使って、すべてのソフトウェアのインストール時に検証を実施します。

SBOM（ソフトウェア部品表）の要求と管理

サプライヤーに対して、ソフトウェアに含まれるすべてのコンポーネント、ライブラリ、依存関係のリスト（SBOM）の提供を要求します。SBOMを使って、脆弱性が発見された際に、自社のどのシステムが影響を受けるか迅速に特定できます。

ソフトウェア構成分析（SCA）ツールの導入

オープンソースコンポーネントや依存関係の脆弱性を自動的に検出するSCAツールを導入します。新しい脆弱性が公開された際に、影響を受けるシステムをすぐに特定し、対応できます。

ゼロトラストアーキテクチャの採用

信頼を前提としない設計

「信頼できる供給元」という前提を捨て、すべてのアクセスを検証します。サプライヤーからの通信も、外部からの攻撃と同じレベルで監視し、検証します。

最小権限の原則の徹底

サプライヤーやサービスプロバイダーには、業務に必要な最小限のアクセス権のみを付与します。管理者権限は極力与えず、特定のシステムや特定の期間のみアクセスできるように制限します。

ネットワークのセグメンテーション

サプライヤーがアクセスするシステムと、社内の重要なシステムを物理的または論理的に分離します。万が一サプライヤー経由で侵入されても、重要なシステムへの横展開を防ぎます。

多要素認証の強制

サプライヤーがリモートアクセスする際は、必ず多要素認証を要求します。パスワードだけでは不十分です。

継続的な監視と異常検知

詳細なログの収集と分析

サプライヤーからのアクセス、ソフトウェアの更新、データの転送など、すべての活動を詳細にログに記録します。SIEM（セキュリティ情報イベント管理）システムを使って、異常なパターンを検知します。

ベースラインの確立と異常検知

通常の活動パターンをベースラインとして確立し、それから逸脱する動作を異常として検知します。信頼されている経路からの攻撃でも、詳細な監視により異常を発見できる可能性があります。

脅威インテリジェンスの活用

外部の脅威インテリジェンスサービスを利用し、サプライチェーン攻撃に関する最新の情報を入手します。どのような攻撃が発生しているか、どのサプライヤーが標的になっているかなどの情報を活用します。

インシデント対応計画の整備

サプライチェーン攻撃のシナリオを含める

インシデント対応計画に、サプライチェーン攻撃を受けた場合のシナリオを含めます。どのサプライヤーが侵害されたか、影響範囲はどこまでか、どのように封じ込めるかなどの手順を明確にします。

定期的な訓練の実施

机上演習や実地訓練を通じて、インシデント対応計画の実効性を確認します。サプライヤーも訓練に参加させ、連携を強化します。

通信手段の確保: インシデント発生時に、サプライヤーと迅速に連絡を取れる手段を複数確保します。通常のメールやシステムが使えなくなる可能性を考慮し、電話、SMS、セキュアなメッセージングアプリなどを用意します。

契約とSLAの強化

セキュリティ要件の明記

契約書に、具体的なセキュリティ要件を明記します。多要素認証の使用、定期的な脆弱性診断の実施、インシデント報告の義務、監査への協力などを盛り込みます。

インシデント対応の責任範囲

サプライチェーン攻撃が発生した場合の責任範囲、通知義務、復旧支援、損害賠償などを明確にします。

監査権の確保

定期的または随時に、サプライヤーのセキュリティ対策を監査する権利を契約に含めます。

開発プロセスのセキュリティ強化

セキュア開発ライフサイクル（SSDLC）の実装

自社で開発するソフトウェアについて、設計、開発、テスト、デプロイのすべての段階でセキュリティを考慮します。

コードレビューと静的解析

外部から取り入れるコードやライブラリについても、内部でレビューし、静的解析ツールで脆弱性を検査します。

ビルド環境の保護

ソフトウェアのビルド環境を厳格に保護し、不正なコードが混入できないようにします。ビルドプロセスの完全性を検証し、再現可能なビルドを実現します。

業界協力と情報共有

ISAC（情報共有分析センター）への参加

業界ごとのISACに参加し、サプライチェーン攻撃に関する情報を共有します。

政府との連携

サプライチェーン攻撃は国家安全保障にも関わるため、政府機関（日本ではNISC、経済産業省、警察庁など）と連携し、情報を共有します。

標準化への貢献

SBOM、セキュア開発、サプライヤー評価などの標準化活動に参加し、業界全体のセキュリティレベル向上に貢献します。

即座に実施すべき対応

侵害の確認と影響範囲の特定

サプライチェーン攻撃の兆候（不審な通信、予期しないシステムの動作、サプライヤーからの警告など）を確認したら、すぐにインシデント対応チームを招集します。どのサプライヤーが侵害されたか、どのシステムが影響を受けているか、どのような活動が行われているかを迅速に特定します。

影響を受けたシステムの隔離

侵害されたサプライヤーからの通信を遮断し、影響を受けたシステムをネットワークから隔離します。ただし、証拠保全のため、システムの電源は切らずに保持します。

緊急パッチの適用とバックドアの探索

サプライヤーから緊急パッチが提供された場合は、テスト環境で動作を確認した後、速やかに適用します。同時に、システム内にバックドアが残されていないか、徹底的に調査します。

専門家への相談と調査

フォレンジック調査の実施

サイバーセキュリティの専門業者に依頼し、詳細なフォレンジック調査を実施します。侵入経路、活動内容、盗まれた情報、残されたバックドアなどを特定します。

法執行機関への通報

サプライチェーン攻撃は組織犯罪や国家支援の攻撃である可能性が高いため、警察のサイバー犯罪相談窓口や、場合によってはFBI、Interpolなどの国際機関に通報します。

業界への情報共有

同じサプライヤーを利用している他の企業も被害を受けている可能性があるため、ISACや業界団体を通じて情報を共有します。

復旧と再発防止

クリーンな環境からの再構築

侵害されたシステムは、OSの再インストールやハードウェアの交換を含め、ゼロから再構築します。バックアップから復元する場合も、侵害前の時点のバックアップを使用します。

認証情報の全面的な変更

すべてのパスワード、APIキー、証明書、トークンなどを変更します。侵害されたサプライヤーと共有していた認証情報は、すべて無効化します。

セキュリティ対策の全面見直し

なぜ攻撃を受けたのか、どこに弱点があったのかを分析し、サプライヤー管理プロセス、監視体制、インシデント対応計画などを改善します。

関係者への通知

顧客情報が流出した可能性がある場合、個人情報保護法に基づき、個人情報保護委員会への報告と本人への通知を行います。株主、取引先、従業員などのステークホルダーにも適切に情報を開示します。

日本における法的枠組み

個人情報保護法:

サプライチェーン攻撃により個人情報が流出した場合、個人情報保護法に基づく報告義務と本人への通知義務を負います。サプライヤー経由の流出であっても、最終的なサービス提供者が責任を負います。

不正アクセス禁止法

サプライチェーンを経由した不正アクセスも、不正アクセス禁止法の対象となります。攻撃者だけでなく、適切なセキュリティ対策を怠っていたサプライヤーも、場合によっては責任を問われる可能性があります。

製造物責任法（PL法）

ソフトウェアやハードウェアに不正なコードや部品が含まれていた場合、製造物の欠陥として製造物責任法が適用される可能性があります。

契約上の責任

サプライヤーの責任

契約にセキュリティ要件が明記されている場合、それに違反してサプライチェーン攻撃を許したサプライヤーは、契約違反として損害賠償責任を負う可能性があります。ただし、高度な攻撃に対しては「不可抗力」として責任が免除される場合もあります。

最終サービス提供者の責任

サプライヤーが侵害されても、顧客に対する責任は最終的なサービス提供者が負います。「サプライヤーが悪い」という主張は、顧客に対しては通用しません。適切なサプライヤー管理を怠っていた場合、善管注意義務違反として責任を問われます。

国際的な法的問題

GDPRとデータ保護

EUの個人データを扱っている場合、サプライチェーン攻撃による情報流出はGDPR違反となり、全世界年間売上高の4%または2000万ユーロのいずれか高い方の制裁金が科される可能性があります。

国家安全保障法

特定の国では、サプライチェーンに外国企業が含まれることを制限する法律があります。アメリカのNDAAは、中国企業の製品を政府調達から排除しています。