攻撃・脅威に関する用語
サプライチェーン攻撃に関連する攻撃手法や脅威についての用語です。
- APT(Advanced Persistent Threat:高度で持続的な脅威)
- 特定の組織を狙い、長期間にわたって執拗に攻撃を続ける高度なサイバー攻撃。国家レベルの攻撃者が関与することもあり、サプライチェーン攻撃を手段として使うことがあります。→標的型攻撃の詳細
- BEC(Business Email Compromise:ビジネスメール詐欺)
- 取引先や経営者になりすまして、送金や情報提供を求める詐欺の手口。サプライチェーン攻撃の一形態として、取引先を装った偽の請求書送付などが行われます。→ビジネスメール詐欺の詳細
- Dependency Confusion(依存関係混乱)
- 企業が内部で使用しているプライベートパッケージと同じ名前のパッケージを公開リポジトリに登録し、誤ってインストールさせる攻撃手法。→依存関係混乱の詳細
- Island Hopping Attack(アイランドホッピング攻撃)
- 太平洋戦争の戦術に由来する呼称で、ターゲット組織を直接攻撃せず、その取引先や関連会社を経由して「島から島へ」と侵入を進める攻撃手法。サプライチェーン攻撃の別名として使われることがあります。
- Lateral Movement(横展開・ラテラルムーブメント)
- 攻撃者が最初の侵入地点から、ネットワーク内を横方向に移動してより高い権限やより重要なシステムへアクセスを広げていく活動。サプライチェーン攻撃後の侵害拡大に使われます。
- Living off the Land(環境寄生型攻撃)
- 侵入後にマルウェアを使わず、OSに標準搭載されている正規ツール(PowerShellなど)を悪用して攻撃活動を行う手法。検知が困難になります。→正規ツール悪用の詳細
- マルウェア(Malware)
- 悪意のあるソフトウェアの総称。ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェアなどが含まれます。サプライチェーン経由で配布されることがあります。→マルウェア感染の詳細
- ランサムウェア(Ransomware)
- 感染したコンピュータのファイルを暗号化し、復号のための身代金を要求するマルウェア。サプライチェーン攻撃と組み合わせると、大規模な被害につながります。→ランサムウェアの詳細
- フィッシング(Phishing)
- 偽のメールやWebサイトで個人をだまし、認証情報や個人情報を窃取する攻撃。サプライチェーン攻撃の入口として多く使われます。→フィッシング詐欺の詳細
- タイポスクワッティング(Typosquatting)
- 人気のあるドメイン名やパッケージ名と似た名前(タイプミスを狙った名前)を登録し、誤ってアクセスしたユーザーを攻撃する手法。→タイポスクワッティングの詳細
- ゼロデイ攻撃(Zero-Day Attack)
- まだパッチが公開されていない脆弱性(ゼロデイ脆弱性)を悪用した攻撃。Kaseya事件ではゼロデイ脆弱性が悪用されました。→ゼロデイ攻撃の詳細
- 水飲み場攻撃(Watering Hole Attack)
- ターゲットが頻繁に訪れるWebサイトを改ざんし、アクセスした際にマルウェアを感染させる攻撃。サプライチェーン攻撃の一種として分類されることがあります。→水飲み場攻撃の詳細
- 二重脅迫型ランサムウェア(Double Extortion Ransomware)
- データを暗号化するだけでなく、事前にデータを窃取し、「身代金を払わなければデータを公開する」と二重に脅迫するランサムウェアの手法。
対策・防御に関する用語
サプライチェーン攻撃への対策や防御に関する用語です。
- ゼロトラスト(Zero Trust)
- 「信頼しない、常に検証する」というセキュリティの考え方。社内ネットワークであっても無条件に信頼せず、すべてのアクセスを検証します。サプライチェーン攻撃対策にも有効です。→ゼロトラストの詳細
- EDR(Endpoint Detection and Response)
- PCやサーバーなどの端末(エンドポイント)での不審な挙動を検知し、対応するためのセキュリティツール。振る舞いベースで未知の脅威も検知できます。→検知・監視の詳細
- XDR(Extended Detection and Response)
- EDRを拡張し、エンドポイントだけでなく、ネットワーク、クラウド、メールなど複数のセキュリティ層を統合的に監視・対応するソリューション。
- SIEM(Security Information and Event Management)
- 複数のセキュリティ機器やシステムからログを収集・分析し、セキュリティインシデントを検知・管理するシステム。相関分析により単体では見つけにくい攻撃を検知できます。
- SOAR(Security Orchestration, Automation and Response)
- セキュリティ運用の自動化・効率化を実現するプラットフォーム。インシデント対応の自動化やワークフロー管理を行います。
- WAF(Web Application Firewall)
- Webアプリケーションへの攻撃を検知・防御するセキュリティ製品。SQLインジェクションやXSSなどの攻撃から保護します。
- MFA(Multi-Factor Authentication:多要素認証)
- パスワードに加えて、スマートフォンや生体認証など複数の認証要素を組み合わせる方式。不正ログインのリスクを大幅に低減します。→MFAバイパスの詳細
- パッチ管理(Patch Management)
- OSやソフトウェアの脆弱性を修正するパッチを適切に適用・管理するプロセス。サプライチェーン攻撃では、パッチが提供される前のゼロデイ脆弱性も悪用されます。→脆弱性管理の詳細
- ネットワーク分離(Network Segmentation)
- ネットワークを複数のセグメントに分割し、セグメント間の通信を制限することで、侵害時の被害拡大を防ぐ対策。マイクロセグメンテーションとも呼ばれます。
- IAM(Identity and Access Management)
- ユーザーのID管理とアクセス権限の管理を行う仕組み。「誰が」「何に」「どのようなアクセスを」できるかを制御します。
- PAM(Privileged Access Management)
- 特権アカウント(管理者権限を持つアカウント)のアクセスを管理・監視する仕組み。特権アカウントの悪用を防ぎます。
- DLP(Data Loss Prevention)
- 機密データの流出を防止するためのソリューション。データの移動を監視し、不正な持ち出しを検知・ブロックします。→情報漏洩の詳細
- SOC(Security Operation Center)
- 組織のセキュリティを24時間365日監視・対応する専門チームまたは施設。インシデントの検知と初期対応を担当します。
- CSPM(Cloud Security Posture Management)
- クラウド環境のセキュリティ設定を継続的に監視・評価し、設定ミスやコンプライアンス違反を検知するツール。→クラウド設定不備の詳細
管理・プロセスに関する用語
セキュリティ管理やプロセスに関する用語です。
- SBOM(Software Bill of Materials:ソフトウェア部品表)
- ソフトウェアに含まれるすべてのコンポーネントや依存関係を一覧化したもの。食品の原材料表示のソフトウェア版。脆弱性管理やライセンス管理に活用されます。→SBOMの詳細
- SLSA(Supply-chain Levels for Software Artifacts)
- Googleが提唱したソフトウェアサプライチェーンセキュリティのフレームワーク。ビルドプロセスの完全性を段階的に向上させるための指標を提供します。読み方は「サルサ」。
- TPRM(Third Party Risk Management:第三者リスク管理)
- 取引先や委託先など、組織外の第三者に関連するリスクを特定・評価・管理するプロセス。サプライチェーンセキュリティの中核的な活動です。→TPRMの詳細
- BCP(Business Continuity Plan:事業継続計画)
- 災害やインシデント発生時に事業を継続するための計画。サプライチェーン攻撃による業務停止からの復旧計画も含まれます。→BCPの詳細
- DR(Disaster Recovery:災害復旧)
- 災害やインシデント発生後にシステムやデータを復旧するプロセス。バックアップからの復元計画や代替環境の準備が含まれます。
- インシデント対応(Incident Response)
- セキュリティインシデント発生時の対応プロセス。検知、封じ込め、根絶、復旧、教訓の5つのフェーズで構成されます。→インシデント対応計画の詳細
- フォレンジック(Forensics)
- インシデント発生後に証拠を収集・分析し、何が起きたかを調査する活動。法的対応のための証拠保全も含まれます。デジタルフォレンジック、コンピュータフォレンジックとも。
- ペネトレーションテスト(Penetration Test)
- 実際の攻撃者を模擬して、システムやネットワークに侵入を試み、脆弱性を発見するテスト。「ペンテスト」とも呼ばれます。
- 脆弱性診断(Vulnerability Assessment)
- システムやアプリケーションに存在する脆弱性を自動的または手動で検査し、リスクを評価する活動。定期的な実施が推奨されます。
- リスクアセスメント(Risk Assessment)
- 組織が直面するリスクを特定・分析・評価するプロセス。サプライチェーンリスクの洗い出しにも使われます。
- コンプライアンス(Compliance)
- 法令や規制、社内規程などを遵守すること。セキュリティに関する法規制やガイドラインへの適合も含まれます。→監査・コンプライアンスの詳細
- デューデリジェンス(Due Diligence)
- 取引や投資の前に、対象のリスクを調査・評価すること。取引先のセキュリティ評価もデューデリジェンスの一部です。
- SLA(Service Level Agreement:サービスレベル合意)
- サービス提供者と利用者の間で、サービスの品質水準について合意した文書。稼働率やインシデント対応時間などが規定されます。
技術・開発に関する用語
技術面や開発プロセスに関する用語です。
- CI/CD(Continuous Integration / Continuous Delivery)
- ソフトウェア開発において、コードの統合(CI)とデプロイ(CD)を自動化・継続的に行う手法。このパイプラインが攻撃されると、悪意あるコードが混入する可能性があります。→CI/CDセキュリティの詳細
- OSS(Open Source Software:オープンソースソフトウェア)
- ソースコードが公開され、自由に利用・改変・再配布できるソフトウェア。多くの商用ソフトウェアもOSSを利用していますが、OSSの脆弱性がサプライチェーンリスクになることがあります。→OSS管理の詳細
- npm
- Node.js向けのパッケージマネージャー。JavaScriptのライブラリを管理するために広く使われています。悪意あるパッケージが公開されるリスクがあります。→npmセキュリティの詳細
- コンテナ(Container)
- アプリケーションとその実行環境を一つにパッケージ化する技術。Dockerが代表的。コンテナイメージに脆弱性が含まれるリスクがあります。
- API(Application Programming Interface)
- ソフトウェア間でデータや機能をやり取りするためのインターフェース。APIのセキュリティ不備がサプライチェーンリスクになることがあります。→APIセキュリティの詳細
- VPN(Virtual Private Network)
- インターネット上に暗号化されたプライベートな通信経路を構築する技術。取引先との接続に使われますが、VPN機器の脆弱性が侵入経路になることがあります。
- 暗号化(Encryption)
- データを第三者に読めない形式に変換すること。通信の暗号化(TLS)、保存データの暗号化など、さまざまな場面で使われます。
- ハッシュ(Hash)
- 任意のデータから固定長の値(ハッシュ値)を生成する関数。ファイルの改ざん検知やパスワードの保存に使われます。
- 署名(Digital Signature / Code Signing)
- 電子署名はデータの真正性を証明し、コード署名はソフトウェアの発行元を証明します。署名キーが窃取されると、悪意あるソフトウェアに正規の署名が付けられてしまいます。
- リポジトリ(Repository)
- ソースコードやパッケージを保管・管理する場所。GitHub、GitLab、npm、PyPIなどがあります。リポジトリへの不正アクセスがサプライチェーン攻撃につながります。
- DevSecOps(デブセックオプス)
- 開発(Dev)、セキュリティ(Sec)、運用(Ops)を統合し、開発プロセスの早い段階からセキュリティを組み込むアプローチ。
- コード署名証明書(Code Signing Certificate)
- ソフトウェアの発行元を証明するための電子証明書。信頼された認証局から発行され、ソフトウェアに署名を付与するために使用されます。
規制・ガイドラインに関する用語
法規制やガイドラインに関する用語です。
- IPA(独立行政法人情報処理推進機構)
- 日本の情報処理技術に関する政府系機関。「情報セキュリティ10大脅威」の発表や、セキュリティに関する啓発活動を行っています。サプライチェーン攻撃を「サプライチェーンの弱点を悪用した攻撃」と呼んでいます。
- NISC(内閣サイバーセキュリティセンター)
- 内閣官房に設置されたサイバーセキュリティ政策の司令塔。サイバーセキュリティ戦略の策定や、重要インフラ防護を担当しています。
- 経産省サイバーセキュリティ経営ガイドライン
- 経済産業省とIPAが策定した、企業の経営者向けのサイバーセキュリティ対策指針。サプライチェーンセキュリティの重要性も記載されています。
- FISC(金融情報システムセンター)
- 金融機関の情報システムに関するガイドラインを策定している団体。「金融機関等コンピュータシステムの安全対策基準」を発行しています。
- NIST(National Institute of Standards and Technology)
- 米国国立標準技術研究所。サイバーセキュリティフレームワーク(CSF)やパスワードガイドライン(SP 800-63)など、世界的に参照される基準を策定しています。
- NIST CSF(Cybersecurity Framework)
- NISTが策定したサイバーセキュリティ対策のフレームワーク。特定・防御・検知・対応・復旧の5つの機能で構成されます。
- ISO 27001
- 情報セキュリティマネジメントシステム(ISMS)に関する国際規格。認証を取得することで、一定水準のセキュリティ管理体制を証明できます。
- SOC 2(Service Organization Control 2)
- サービス提供者のセキュリティ、可用性、処理の整合性、機密性、プライバシーに関する監査基準。クラウドサービスの評価に使われます。
- GDPR(General Data Protection Regulation)
- EUの一般データ保護規則。EU域内の個人データの取り扱いに関する厳格な規制で、委託先の管理責任も規定されています。
- 個人情報保護法
- 日本の個人情報の取り扱いに関する法律。2022年の改正で、漏洩等報告義務が強化されました。委託先の監督義務も規定されています。
- Pマーク(プライバシーマーク)
- JIPDECが運営する、個人情報の適切な取り扱いを認証する制度。取引先のセキュリティ評価に使われることがあります。
サプライチェーン攻撃に特有の用語
サプライチェーン攻撃を理解するための特有の用語です。
- Tier1/Tier2/Tier3(サプライヤー階層)
- サプライチェーンにおけるサプライヤーの階層。Tier1は直接取引先、Tier2はTier1の取引先(間接取引先)、Tier3はさらにその先。階層が深くなるほど可視化が困難になります。
- ソフトウェアサプライチェーン攻撃
- ソフトウェアの開発・配布プロセスを悪用する攻撃。正規のアップデートへの悪意あるコード混入、OSSへの不正コード挿入などが含まれます。SolarWinds事件が代表例。
- ビジネスサプライチェーン攻撃
- 取引先や委託先などのビジネス上のつながりを悪用する攻撃。取引先経由の侵入、取引先を装った詐欺(BEC)などが含まれます。トヨタ・小島プレス事件が代表例。
- サービスサプライチェーン攻撃
- MSP(マネージドサービスプロバイダ)やクラウドサービス事業者を悪用する攻撃。1社を侵害することで多数の顧客に被害を拡大できます。Kaseya事件が代表例。
- サプライチェーンの可視化
- 自社のサプライチェーン(取引先、使用しているソフトウェア、依存関係など)を把握すること。可視化がなければ、どこにリスクがあるかわかりません。→可視化の詳細
- アップストリーム(Upstream)
- サプライチェーンにおいて、自社から見て「上流」に位置する組織やコンポーネント。例:自社が使用するOSSの開発元。
- ダウンストリーム(Downstream)
- サプライチェーンにおいて、自社から見て「下流」に位置する組織。例:自社の製品を使用している顧客。
- MSP(Managed Service Provider)
- 企業のIT環境を代行して管理するサービス事業者。多くの顧客の管理権限を持つため、攻撃されると被害が広範囲に及びます。Kaseya事件で狙われたのがMSP。
- シングルポイントオブフェイラー(Single Point of Failure)
- その箇所が停止すると全体が停止してしまう、単一障害点。サプライチェーンでは、特定のサプライヤーへの依存がリスクになります。
- サプライチェーンリスク
- サプライチェーン上の問題(サイバー攻撃に限らず、災害、倒産、品質問題なども含む)によって事業に影響が出るリスクの総称。サプライチェーン攻撃はその一部です。
まとめ
サプライチェーン攻撃に関連する用語を、カテゴリ別に解説しました。
- 用語集の活用方法
- - このページを**ブックマーク**して、わからない用語が出てきたときに参照する - 関連ページへのリンクから、**詳細な解説**を読む - セキュリティ関連の**ドキュメントや会議**で使われる用語の理解に役立てる
用語の理解は、サプライチェーン攻撃対策の第一歩です。基礎知識カテゴリ全体については「サプライチェーン攻撃の基礎知識」を、総合ガイドは「サプライチェーン攻撃とは」をご覧ください。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す
攻撃タイプ別に探す
人気のページ
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 用語の定義や解釈は文脈によって異なる場合があります。
- 記載内容は作成時点の情報であり、技術や規制は日々進化している可能性があります。
更新履歴
- 初稿公開
