この記事で分かること
- サプライチェーン攻撃の定義と仕組み
- 攻撃者が用いる主な手口と脅威
- 企業が受ける深刻な被害とリスク
- サプライチェーン全体を守るための具体的な対策
近年、ターゲットとする大企業へ侵入するために、セキュリティ対策が手薄な関連企業や取引先を踏み台にする「サプライチェーン攻撃」が急増しています。自社の対策を強化していても、サプライチェーンの弱点を突かれた場合、機密情報の漏えいや事業停止などの被害が発生する可能性があります。本記事では、サプライチェーン攻撃の仕組みや最新の手口、企業がとるべき具体的な対策について分かりやすく解説します。自社だけでなく、委託先や子会社を含めたIT資産の可視化と統制を継続的に行うことは、サプライチェーン攻撃リスクの低減において重要な要素の一つです。
サプライチェーン攻撃とは
サプライチェーン攻撃とは、セキュリティ対策が強固な標的企業を直接狙うのではなく、関連企業や取引先、あるいは利用しているソフトウェアなど、セキュリティが比較的手薄なサプライチェーン(供給網)の弱点を突いて侵入を試みるサイバー攻撃の手法です。
大企業においては、自社のセキュリティ対策をどれだけ強化していても、国内外の子会社や業務委託先、外部サービスなどのつながりを利用されてしまうため、自社単独の対策だけでは防ぎきれないという特徴があります。
サプライチェーン攻撃の定義と仕組み
サプライチェーン攻撃は、大きく分けて「ビジネスサプライチェーン」を狙うものと「ソフトウェアサプライチェーン」を狙うものの2つに分類されます。前者は、標的企業とネットワークでつながっている関連企業や取引先を踏み台にする手口です。後者は、企業が導入するソフトウェアやシステムの開発過程にマルウェアを混入させ、製品のアップデートなどを通じて広く感染させる手口を指します。
独立行政法人情報処理推進機構(IPA)が発表している情報セキュリティ10大脅威では、サプライチェーンの弱点を悪用した攻撃が組織向け脅威として取り上げられています。
サプライチェーン攻撃の主な経路と仕組みは、以下の表のように整理できます。
| 攻撃の経路 | 仕組みと特徴 |
|---|---|
| ビジネスサプライチェーン(取引先・子会社) | セキュリティ対策が不十分な子会社や委託先のネットワークに侵入し、そこから本社のシステムや機密情報へアクセスする。 |
| ソフトウェアサプライチェーン(開発元・提供元) | 利用しているソフトウェアやIT機器の製造・開発プロセスに不正なコードを仕込み、正規のアップデートを装ってマルウェアを配布する。 |
| サービスサプライチェーン(MSPなど) | システムの運用保守を担う事業者(MSP)の管理権限を乗っ取り、顧客企業のネットワークへ一斉に侵入する。 |
なぜ今サプライチェーン攻撃が脅威となっているのか
近年、サプライチェーン攻撃が深刻な脅威となっている背景には、企業のIT環境がかつてないスピードで急膨張し、複雑化していることが挙げられます。急激な事業拡大やM&A、テレワークの普及により、企業が管理すべきIT資産(PCやサーバー、ネットワーク機器など)は国内外のあらゆる場所に分散しています。
このような状況下において、多くの企業が直面している課題が以下の通りです。
- 各拠点や子会社からの手作業による報告(Excelなど)に頼っており、情報集約に数日〜数週間かかっている
- 社内にどのようなIT資産が存在し、脆弱性の有無やパッチ適用状況がどうなっているのかをリアルタイムで把握できていない
- 既存の資産管理ツールが拠点ごとに分断されており、全社的な一元管理が困難になっている
攻撃者は、このような管理が行き届きにくい領域を狙う傾向があります。経営層やIT部門の責任者が自社のIT環境を正確に把握できていない状態は、サイバーリスクに対する意思決定を遅らせ、対策を常に後手へと回してしまいます。
サプライチェーン全体の管理体制を強化するためには、個別ツールや手作業による管理の見直しを含め、自社の状況に応じて可視化や統制(コントロール)の仕組みを整備していくことが重要です。
サプライチェーン攻撃の主な手口
サプライチェーン攻撃は、強固なセキュリティ対策が施された大企業を直接狙うのではなく、関連組織や利用しているサービスなど、相対的に防御が手薄な経路を悪用して侵入を試みます。ここでは、企業を脅かす代表的な3つの手口について詳しく解説します。
ソフトウェアの脆弱性を突く手口
企業が日常的に利用しているソフトウェアやITサービスのアップデートプログラムに、攻撃者が不正なコードを混入させる手口です。
正規のベンダーから提供される更新プログラムとして配信されるため、企業側は疑うことなく社内のネットワークや端末(エンドポイント)に適用してしまいます。その結果、広範囲のIT資産がマルウェアに感染し、バックドアを設置されるなどの深刻な被害をもたらします。
この手口では、自社のセキュリティ対策を講じていても、利用しているソフトウェアのサプライチェーンが侵害された場合には、防御や早期発見が難しくなる場合があります。導入しているツールの脆弱性情報には常にアンテナを張り、迅速に対応できる体制が求められます。
委託先や子会社を踏み台にする手口
ターゲットとなる大企業へ直接サイバー攻撃を仕掛けるのではなく、セキュリティ対策が十分ではない業務委託先や関連会社、海外子会社などを最初の標的とする手口です。
攻撃者はまず、サプライチェーンを構成する比較的脆弱な組織のネットワークに侵入します。その後、親会社や発注元との間で構築されているVPNや専用線、共有システムなどのネットワークのつながりを悪用し、本丸である大企業のシステムへと横展開(ラテラルムーブメント)を行います。
特に近年は、急激な事業拡大やM&Aによってグループ全体でのIT環境が急膨張しており、各拠点のセキュリティレベルを均一に保つことが難しくなっています。情報処理推進機構(IPA)が発表している情報セキュリティ10大脅威でも、サプライチェーンの弱点を悪用した攻撃は常に上位にランクインしており、経営層が直視すべき重大なリスクとなっています。
| 踏み台にされやすい組織の種別 | 狙われる主な理由 | 想定される侵入経路 |
|---|---|---|
| 海外子会社・拠点 | 本社からのガバナンスが効きにくく、独自のITシステムを運用していることが多い | 現地採用のソフトウェアの脆弱性、VPN機器の未パッチ |
| 業務委託先・取引先 | セキュリティ予算や人材が限られており、対策が手薄になりがち | 担当者の端末のマルウェア感染、推測されやすいパスワード |
| M&A先の企業 | IT資産の統合プロセスが完了しておらず、管理の死角が生じやすい | 旧システムの放置された脆弱性、管理外の端末(シャドーIT) |
IT資産の管理不足を狙う手口
テレワークの普及やクラウドサービスの導入により、社内外にIT資産が分散した結果生じる「管理の死角」を狙う手口です。
大企業において、社内にどのようなPCやサーバーが存在し、それぞれがどのような状態(OSのバージョン、脆弱性の有無、パッチの適用状況など)にあるのかをリアルタイムに把握することは容易ではありません。各拠点や子会社からの報告をExcelなどの手作業による集約に頼っている場合、情報がまとまるまでに数日〜数週間を要し、経営層が確認するデータは常に過去のものとなってしまいます。
攻撃者は、このような可視化の遅延によって放置された脆弱性や、管理外の端末を執拗にスキャンし、侵入の糸口とします。見えないIT資産が存在する限り、サイバーリスクに対する意思決定は常に後手に回ってしまいます。具体的には、以下のような管理不足が攻撃の標的となります。
- 長期間ネットワークに接続されていなかった端末の突然の利用
- サポートが終了したOSやソフトウェアが稼働しているサーバー
- パッチの適用状況が不明確な海外拠点のネットワーク機器
- 退職者や異動者のアカウントが残存しているクラウドサービス
これらの手口による被害を防ぐためには、手作業による情報の集約や個別ツールの継ぎ足しから脱却し、すべての土台となるリアルタイムなIT資産の可視化と統制(コントロール)へと投資の舵を切ることが重要です。
企業がサプライチェーン攻撃で受ける被害
サプライチェーン攻撃は、ターゲットとなる企業へ直接サイバー攻撃を仕掛けるのではなく、セキュリティ対策が比較的手薄な関連会社や取引先を経由して侵入を試みる手法です。大企業において、M&Aや事業拡大によって急激に増加した子会社や海外拠点のIT資産を正確に把握できていない場合、そこが攻撃の格好の標的となります。ここでは、サプライチェーン攻撃によって企業が受ける具体的な被害について解説します。
機密情報の漏えいと事業停止
サプライチェーン攻撃による最も直接的な被害は、顧客の個人情報や企業の根幹を支える技術情報などの機密情報の漏えいです。攻撃者は、セキュリティ統制が十分に及んでいない委託先や子会社のネットワークに侵入し、そこを踏み台にして本社の基幹システムへと到達します。各拠点からの手作業によるIT資産の報告や表計算ソフトでの管理に依存している環境では、侵入された事実や脆弱性の存在に気づくのが遅れ、被害が深刻化する傾向があります。
また、ランサムウェアを用いた攻撃によってシステムが暗号化され、事業活動に大きな影響が生じるケースも報告されています。独立行政法人情報処理推進機構(IPA)が発表した情報セキュリティ10大脅威においても、サプライチェーンの弱点を悪用した攻撃は組織における脅威の上位に位置づけられており、その影響の大きさがうかがえます。工場や物流のシステムが停止すれば、自社だけでなくサプライチェーン全体に多大な影響を及ぼします。
取引先からの損害賠償と信用の失墜
サプライチェーン攻撃の被害は、自社内のシステム障害や情報漏えいにとどまりません。自社が踏み台となり、さらに重要な取引先や顧客へと被害が拡大した場合、損害賠償を請求される可能性があります。特に、従業員規模が大きく多数の取引先を抱える企業では、影響範囲が計り知れません。
被害の内容や対応状況によっては、企業としての社会的信用に影響を及ぼす可能性があります。セキュリティ対策を怠っていたとみなされれば、既存顧客の離反や新規取引の停止、さらには株価の下落といった長期的な経営ダメージにつながります。サプライチェーン攻撃によって引き起こされる主な被害と経営への影響を以下の表にまとめました。
| 被害の種類 | 具体的な内容 | 経営への影響 |
|---|---|---|
| 情報の漏えい | 顧客の個人情報、未公開の財務情報、独自の技術データの流出 | 競争力の低下、コンプライアンス違反による行政指導や罰則 |
| 事業の停止 | ランサムウェア感染による基幹システムのダウン、生産ラインの停止 | 売上の機会損失、復旧対応のための莫大なコスト発生 |
| 損害賠償 | 自社を踏み台とした取引先へのサイバー攻撃の波及 | 巨額の賠償金支払い、法的責任の追及 |
| 信用の失墜 | メディア報道によるブランドイメージの低下 | 株価の下落、顧客離れ、採用活動への悪影響 |
企業が認識しておくべき二次的被害の連鎖には、以下のようなものがあります。
- 取引先システムの停止に伴うサプライチェーン全体の機能不全
- インシデント対応やフォレンジック調査にかかる予期せぬ多額の費用
- セキュリティ体制の再構築が完了するまでの間のビジネス機会の喪失
これらの被害リスクを低減するためには、グループ全体でどの拠点にどのようなIT資産が存在し、どのような状態にあるのかを把握・管理することが重要です。被害を抑えるための初動対応においても、情報の集約に時間を要する環境では対応の遅れにつながる可能性があります。
このように、サプライチェーン攻撃は単なるIT部門の課題ではなく、経営の根幹を揺るがす重大なリスクです。把握できていないIT資産が存在する状態は、セキュリティリスクを高める要因の一つとなるため、全社的な可視化と統制の強化を検討することが重要です。
サプライチェーン攻撃を防ぐために企業がとるべき対策
サプライチェーン攻撃は、自社のセキュリティ対策を強化するだけでは防ぐことができません。関連企業や取引先など、サプライチェーン全体を俯瞰した包括的な対策が求められます。ここでは、企業が優先して取り組むべき具体的な対策について解説します。
セキュリティポリシーの策定と見直し
サプライチェーン全体で一貫したセキュリティレベルを維持するためには、明確なセキュリティポリシーの策定と継続的な見直しが不可欠です。親会社だけでなく、子会社や業務委託先に対しても、自社と同等のセキュリティ基準を要求し、契約書などに明記することが重要となります。
経済産業省が策定した「サイバーセキュリティ経営ガイドライン」など、公的な指針を参考にしながら、自社の事業環境に適したポリシーを構築することが推奨されます。また、事業拡大やM&Aによって組織体制が変化した際には、速やかにポリシーを見直し、グループ全体に浸透させるプロセスを整備しておきましょう。
委託先や子会社を含めたセキュリティ監査
策定したセキュリティポリシーの運用状況を確認するためには、委託先や子会社を含めた定期的なセキュリティ監査の実施を検討することが重要です。自己申告によるチェックシートの提出だけでなく、必要に応じて第三者機関による客観的な監査を組み合わせることで、実効性を高めることができます。
監査を実施する際の主な評価項目は、以下のように分類して整理すると効果的です。
| 監査の分類 | 主な確認項目 | 実施の目的 |
|---|---|---|
| 組織的対策 | 情報セキュリティ体制の構築、インシデント発生時の連絡フロー | 責任の所在と緊急時の対応手順が明確化されているかを確認する |
| 技術的対策 | マルウェア対策、アクセス制御、脆弱性パッチの適用状況 | サイバー攻撃を防ぐための具体的なシステム対策が機能しているかを評価する |
| 物理的対策 | サーバルームへの入退室管理、端末の持ち出しルールの徹底 | 機器の盗難や不正な物理アクセスによる情報漏えいリスクを低減する |
リアルタイムなIT資産の可視化と統制
サプライチェーン攻撃の被害を最小限に抑えるための基盤となるのが、自社およびグループ企業全体におけるIT資産の正確な把握です。急激な事業拡大やテレワークの普及により、社内外のネットワークに接続されるPCやサーバーは急増しています。
手作業による情報集約の限界
多くの企業では、各拠点や子会社に存在するIT資産の管理を、既存の資産管理ツールや表計算ソフトなどを用いた手作業による報告に頼っています。しかし、このようなアナログな管理手法には大きなリスクが潜んでいます。
- 各拠点からの報告を集約するまでに数日〜数週間のタイムラグが発生する
- 報告されたデータが常に過去のものとなり、現在の正確な状態を反映していない
- OSのバージョンやパッチ適用状況など、詳細なセキュリティ状態の把握が困難である
このように「社内にどのようなIT資産が、今どういう状態で存在するのか」が見えない状態では、経営層がサイバーリスクに対する正確な意思決定を行うことはできません。経営の見える化の遅延は、インシデント発生時の初動対応を遅らせ、被害を拡大させる最大の要因となります。
エンドポイント管理による全社最適化の実現
手作業による限界を打破し、サプライチェーン全体のセキュリティを強固にするためには、個別ツールの継ぎ足しを止め、すべての土台となるリアルタイムな可視化と統制(コントロール)へ投資の舵を切る必要があります。
グループ全体のエンドポイント(PCやサーバーなどの端末)を一元的に管理できる仕組みの導入は、有効な選択肢の一つです。エンドポイント管理によって全社最適化を実現することで、以下のような効果が得られます。
- グループ全体に存在するすべてのIT資産をリアルタイムに自動検知し、台帳を常に最新の状態に保つ
- 脆弱性が放置されている端末や、セキュリティポリシーに違反している端末を即座に特定する
- 遠隔から強制的にセキュリティパッチを適用するなど、迅速な是正措置(統制)を実行する
- 経営層が常に最新のセキュリティリスク状況を把握し、データに基づいた迅速な意思決定を行う
サプライチェーン攻撃の脅威がかつてなく高まっている現在、エンドポイントの正確な状態をリアルタイムに把握し、全社的な統制を効かせることこそが、企業がとるべき防御策と言えます。
サプライチェーン攻撃とはに関するよくある質問
サプライチェーン攻撃の標的になりやすい企業の特徴は何ですか?
大企業と取引がありながら、セキュリティ対策が十分に整っていない中小企業や関連会社が標的になりやすい傾向があります。
中小企業でもサプライチェーン攻撃の対策は必要ですか?
はい、必要です。自社が踏み台にされて取引先に被害が及ぶ可能性があるため、企業規模を問わず対策が求められます。
サプライチェーン攻撃を防ぐための具体的なツールは何ですか?
エンドポイントの状況を可視化するIT資産管理ツールや、不審な挙動を検知するEDRなどが有効とされています。
委託先のセキュリティ対策をチェックするにはどうすればよいですか?
セキュリティチェックシートを活用した定期的な監査や、契約時にセキュリティ要件を明確に定めることが重要です。
サプライチェーン攻撃を受けた場合、まず何をすべきですか?
被害の拡大を防ぐためにネットワークを遮断し、速やかに社内の対策チームや外部の専門機関に報告して対応を進めます。
まとめ
この記事では、サプライチェーン攻撃の手口や企業がとるべき対策について解説しました。セキュリティが手薄な関連企業を踏み台にするこの攻撃は、自社だけでなく取引先にも多大な被害をもたらします。
この記事で学べた重要なポイントは以下の通りです。
- サプライチェーン攻撃は委託先やソフトウェアの脆弱性を狙う
- 被害は情報漏えいや事業停止、信用の失墜にまで発展する
- 対策にはポリシーの策定、委託先の監査、IT資産の可視化が不可欠である
自社のみならず、サプライチェーン全体を守る視点が今求められています。まずは自社のIT資産の現状を正確に把握し、セキュリティ体制の見直しから実践してみましょう。
