サプライチェーン攻撃から組織を守る ― 取引先・委託先リスク管理の実践|会社のデータを守る ― 社員が知るべき情報管理の基本 第3回
サイバーレジリエンス- 第1回 5/7 継続的モニタリングと運用 ― 攻撃を「検知・遮断・回復」するゼロトラスト運用術 配信済
- 第2回 5/13 テレワーク・クラウド時代の安全な働き方 ― リモートアクセスとデータ管理の基本 配信済
- 第3回 5/20 サプライチェーン攻撃から組織を守る ― 取引先・委託先リスク管理の実践 今回
- 第4回 5/27 インシデント初動対応 ― 攻撃を受けたとき最初の72時間でやるべきこと
「自社のセキュリティは万全なのに、取引先が攻撃されて自社のデータが漏れた――」
こうした被害が急増しています。自社だけを守るファイアウォールや多要素認証では、もはや不十分な時代になりました。攻撃者は、セキュリティが手薄な委託先・取引先を踏み台にして、最終的に大企業や重要組織を狙います。これが「サプライチェーン攻撃」です。
今回は、なぜこの攻撃が急増しているのか、国内外の最新データと実際の被害事例をもとに、今日から取り組める実践的な対策を解説します。
📊 脅威の実態 ― 数字が語るリスクの深刻さ
2倍に急増
Verizon DBIR 2025
SecurityScorecard
Global Third-Party Breach Report
「サプライチェーンや
委託先を狙った攻撃」
SecurityScorecard
Global Third-Party Breach Report
上記4つの数字はすべて一次ソースによる確認済みデータです(出典は本記事末尾の参考文献一覧を参照)。特に注目すべきは、サードパーティ関与の侵害がわずか1年で2倍(15%→30%)に拡大した点です(Verizon DBIR 2025)。攻撃者がいかに「取引先の穴」を狙い始めているかがわかります。
- ランサム攻撃による被害(11年連続1位)
- サプライチェーンや委託先を狙った攻撃(8年連続2位)
- AIの利用をめぐるサイバーリスク(初選出)
- システムの脆弱性を悪用した攻撃(6年連続)
- 機密情報を狙った標的型攻撃(11年連続)
出典:IPA「情報セキュリティ10大脅威 2026」(2026年1月29日公表)
🔗 サプライチェーン攻撃とは何か
サプライチェーン攻撃とは、攻撃者がターゲット組織と取引関係にある委託先・ベンダー・ソフトウェアプロバイダを踏み台にして、最終的な標的を侵害する攻撃手法です。NISTの公式定義によれば「インストール前に挿入されたインプラントや脆弱性を利用し、ライフサイクルのどの段階でもデータ侵入やIT情報操作を行う攻撃」とされています。
なぜ攻撃者はこの手法を好むのでしょうか。その答えはシンプルです。大企業は自社のセキュリティに多大な投資をしていますが、取引先・委託先はセキュリティ水準がまちまちで、弱い入口から侵入する方が容易だからです。「信頼関係の悪用」こそがこの攻撃の本質です。
主な攻撃の種類
委託先直接侵害型 ソフトウェアサプライチェーン型 ファイル転送脆弱性型
② ソフトウェアサプライチェーン型:正規ソフトのアップデートや配布プロセスを改ざんし、利用者全員に悪意あるコードを届ける(SolarWinds型)。
③ ファイル転送脆弱性型:MOVEitやGoAnywhereなどファイル転送ソフトのゼロデイ脆弱性を悪用。SecurityScorecardの分析では、2つのファイル転送ソフトの脆弱性だけで第三者経由侵害の63.5%を占めた(SecurityScorecard Global Third-Party Breach Report)。
🗾 日本国内の実被害事例(2024〜2025年)
出典:IPA「情報セキュリティ10大脅威 2026」解説書(2026年1月)
出典:IPA「情報セキュリティ10大脅威 2026」解説書(2026年1月)
出典:Lanscope「サプライチェーン攻撃の被害事例」(2025年10月)
出典:Lanscope「サプライチェーン攻撃の被害事例」(2025年10月)
出典:Lanscope「サプライチェーン攻撃の被害事例」(2025年10月)
❓ なぜ攻撃が成功するのか ― 根本的な原因
サプライチェーン攻撃が繰り返し成功する背景には、組織の構造的な問題があります。
- 委託先のセキュリティ状況の「見えない化」:契約時に確認しても、その後継続的に監視していない。
- 過剰な権限付与:委託先に「とりあえず広い権限」を与えたまま放置している。
- 脆弱性情報の未把握:利用しているソフトウェアの脆弱性情報を収集・追跡していない。
🛡️ 今すぐ取り組める3つの対策
対策① 取引先・委託先のセキュリティ確認を仕組み化する
委託先選定時だけでなく、契約後も定期的(少なくとも年1回)にセキュリティ状況を確認することが重要です。確認項目は以下のような「セキュリティ確認調査票」としてフォーマット化します。
- 情報セキュリティポリシーが文書化されているか
- 役職員・委託先従業員へのセキュリティ教育を実施しているか
- OSおよびソフトウェアのパッチ適用状況はどうか(更新サイクル確認)
- 多要素認証(MFA)をVPNや重要システムへのアクセスに導入しているか
- インシデント発生時の報告・通知フローが定義されているか
- 個人情報取扱いに関する規程・管理台帳を整備しているか
なお、経済産業省は2026年度下期から「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の運用を開始する方針を公表しています(2025年12月公表、意見公募実施済み)。下記の3段階評価が制度の骨格です。
| 段階 | 対象 | 内容・評価方法 |
|---|---|---|
| ★★★ | 全サプライチェーン企業(最低限) | 基礎的なシステム防御策と体制整備。専門家確認付き自己評価で実施。 |
| ★★★★ | 標準的に目指すべきレベル | 組織ガバナンス・取引先管理・検知・インシデント対応等の包括的対策。第三者評価で実施。 |
| ★★★★★ | 到達目標(リスクベース) | 国際規格等に基づく改善プロセス整備とベストプラクティス実践。第三者評価で実施。 |
出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月26日公表)
対策② 委託先へのアクセス権限を「最小限」に絞る
委託先に与えているネットワークアクセスやシステム権限を見直します。「必要なシステム・機能にだけアクセスできる」最小権限の原則(Principle of Least Privilege)を徹底することで、委託先が侵害されても被害の横展開を防げます。
- 委託先に付与しているVPN・リモートアクセス権限のリストを作成・棚卸し
- 不要になった権限・アカウントの即時失効(特に退職者・契約終了先)
- 委託先アクセスのログ取得・定期レビューの仕組みを導入
対策③ 利用ソフトウェアの脆弱性情報を継続的に把握する
MOVEitやGoAnywhere等のファイル転送ソフトの脆弱性が、サードパーティ経由侵害の63.5%(SecurityScorecard)を占めた事実が示すように、使用しているソフトウェアの脆弱性情報を継続的に追跡することは必須です。
- JVN(Japan Vulnerability Notes):日本語で脆弱性情報を提供する公式ポータル。https://jvn.jp/
- IPA セキュリティアラート:重要な脆弱性のみ厳選して発信。IPA公式サイト
- ベンダー公式通知:利用ソフトのベンダーメーリングリストやRSSフィードを登録
- SBOM(ソフトウェア部品表)の整備:自組織が利用するソフトウェアとバージョンを一覧化し、脆弱性情報と照合できる体制を作る
🚀 取引先リスク管理 実施フロー(5ステップ)
現在取引中の委託先・ベンダーをすべてリストアップ。取り扱うデータの種類(個人情報・機密情報等)と重要度でABC分類する。
A・Bランクの委託先に対して確認調査票を送付し、回答を収集・評価する(年1回以上)。リスクが高い先には現地確認・ヒアリングも検討。
委託先に付与しているVPN・システムアクセス権を一覧化し、不要権限を削除。MFAの適用状況も確認する。
新規契約は締結前に、既存契約は更新時に「セキュリティ対策義務・インシデント報告義務・監査受入れ義務」を明記する。
JVN・IPAアラートをRSSまたはメール通知で受け取る設定をし、重要な脆弱性はパッチ適用状況を委託先にも確認する。
✅ サプライチェーンセキュリティ 実践チェックリスト(12項目)
- 委託先・ベンダーの一覧リストが最新の状態で整備されている
- 委託先のセキュリティ確認調査票を年1回以上実施している
- 契約書にセキュリティ対策義務とインシデント報告義務が明記されている
- 重要な委託先には現地確認またはヒアリングを実施している
- 委託先に付与しているアクセス権限を一覧化・定期レビューしている
- 退職・契約終了した委託先のアカウントを即時失効させている
- 委託先アクセスに多要素認証(MFA)を適用している
- 委託先のアクセスログを取得・定期的に確認している
- JVN・IPAアラートの通知を受け取る設定をしている
- 利用ソフトウェアのバージョン一覧(SBOM)を整備している
- 重大な脆弱性情報を委託先にも共有・対応確認している
- ソフトウェアのアップデート・パッチ適用を定期的に実施している
📌 まとめ
サプライチェーン攻撃は、自社のセキュリティが万全であっても、委託先・取引先を経由して侵害される脅威です。Verizon DBIR 2025では、サードパーティが関与する侵害が前年比2倍(15%→30%)に拡大しており、IPA 2026でも8年連続2位にランクされています。
しかしこの脅威には、複雑な技術は不要な対策があります。①委託先の定期確認、②最小権限の徹底、③脆弱性情報の継続把握。この3つを仕組みとして確立することが、今組織に求められる第一歩です。
経済産業省のSCS評価制度(2026年度下期開始予定、★3〜★5の3段階)は、委託先に何を求めるべきかの明確な基準を提供します。この制度を活用して、自社のサプライチェーン全体のセキュリティ水準を可視化・向上させましょう。
📚 参考文献・エビデンス一覧
- ① IPA「情報セキュリティ10大脅威 2026」組織編(2026年1月29日公表)
https://www.ipa.go.jp/security/10threats/10threats2026.html - ② IPA「情報セキュリティ10大脅威 2026」解説書PDF(2026年1月)
https://www.ipa.go.jp/security/10threats/omgdg50000008fi8-att/kaisetsu_2026_soshiki.pdf - ③ Verizon「2025 Data Breach Investigations Report(DBIR)」
https://www.verizon.com/business/resources/reports/2025-dbir-data-breach-investigations-report.pdf - ④ SecurityScorecard「Global Third-Party Breach Report」
https://securityscorecard.com/resources/resources/global-third-party-breach-report/ - ⑤ 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月26日)
https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html - ⑥ Lanscope「サプライチェーン攻撃の最新被害事例と対策まとめ」(2025年10月)
https://www.lanscope.jp/blogs/cyber_attack_pfs_blog/20251022_29693/ - ⑦ Splunk「ソフトウェアサプライチェーンのセキュリティとは」
https://www.splunk.com/ja_jp/blog/security/software-supply-chain-security.html - ⑧ JVN(Japan Vulnerability Notes)脆弱性情報ポータル
https://jvn.jp/ - ⑨ DeepStrike「Supply Chain Attack Statistics 2025」
https://deepstrike.io/blog/supply-chain-attack-statistics-2025 - ⑩ Guardian Japan「サプライチェーン攻撃のトレンドと事例(2025年版)」
https://guardian.jpn.com/security/cloud-supply/supply-chain/news/cases/trends-2025/
※本記事の内容は2026年5月20時点の情報に基づいています。最新情報は各一次ソースをご確認ください。
投稿者プロフィール
