オフィスあるある4コマ(第63回)
声の大きな社員
独立行政法人情報処理推進機構(以下、IPA)が公表している「情報セキュリティ10大脅威」で、「サプライチェーンや委託先を狙った攻撃」が毎年ランクインしている。8年連続のランクインとなった2026年では「ランサム攻撃による被害」に続く第2位に位置付けられた(注1)。セキュリティの脆弱なベンダーや委託先を踏み台にしてサプライチェーンに侵入し、より大きな企業を狙う手口が、サイバー攻撃の常とう手段になっている。中小企業はどう対応すればよいのだろうか。
サプライチェーンには、商品の企画開発、部品や部材の調達、製造工程、在庫管理、物流、販売まで多くの工程がある。これらの工程は自社だけでなく、さまざまな外部の企業によって構成され、業務が委託されている。この工程のどこかが機能しなくなれば、サプライチェーン全体に大きな影響が発生する。
サプライチェーンを構成する企業の中で、比較的セキュリティ対策が手薄な中小の委託先やベンダーが、悪意を持ったサイバー攻撃者の格好のターゲットになっている。そこを踏み台にして侵入し、より規模の大きい取引先へと被害を拡大していく手口が常態化している。サプライチェーンの構成員である中小企業は自社の備えはもちろん、取引先や外部ベンダーと共にこの脅威に立ち向かわなければならない。
サイバー攻撃を受けて侵入を許せば、サプライチェーン全体に被害が広がる恐れがある。その場合、被害に見合った損害賠償が求められるだけでなく、サプライチェーンからの退場を宣告される恐れもある。そうなれば中小企業にとってはまさに死活問題であり、喫緊の経営課題として捉える必要があるだろう。
実際に2025年11月には、ソフトウエア開発会社がランサムウエア攻撃を受け、業務委託先の複数企業が保有していた個人情報が漏えいし、その一部がダークWebで公開される事案が発生した(注2)。また同年12月から翌1月にかけては、テキストエディターソフトの公式サイトが改ざんされ、偽のインストーラーが配布されたことで、インストールを実行した利用者がマルウエアに感染し、パスワードなどの認証情報が窃取される恐れのある事案も確認されている(注3)。いずれも、自社の対策だけでは防ぎきれない、委託先やソフトウエアの提供元を経由した被害の典型例といえる。
こうした脅威に立ち向かうには、自社でセキュリティ対策を講じるだけでは不十分であり、外部の委託先やベンダーにも十分なセキュリティ対策を求める必要がある。そこでは、委託先や外部ベンダーに対するセキュリティガバナンスをどう設計するかが問われる。具体的にどうすればよいかを、以下に挙げておく。
まず取り組まなければならないのは、委託先の管理だ。情報を収集し、信頼できる相手を選定した上で、取引に関する規則の内容を確認する必要がある。契約に当たっては責任の範囲を明記し、合意を得ておかなければならない。
契約書には損害発生時の賠償に関する条項も盛り込み、委託先のセキュリティ対策の状況を定期的に管理できる体制も整えておきたい。納品物がソフトウエアやハードウエアなど、IT関連のものであるケースでは、その検証方法についても事前に定めておかなければならない。
納品物を検証する方法の1つとされるのが、Software Bill of Materials(SBOM)だ。ソフトウエアに含まれる構成要素をリストアップした部品表であり、そのソフトウエアを作るためにどんなプログラムやライブラリーが使われているかを把握でき、内容の検証に活用できる。
その効果は、セキュリティリスクを効率的に発見し、強化のための対策を講じられる点だ。調達コンプライアンス管理を行うという点でも、IT部門に対してSBOMの導入を促したい。サプライチェーンの透明性確保にもつながる。
自社にそうしたノウハウが不足しているケースでは、外部が提供するセキュリティ評価サービスを利用する方法もある。「セキュリティリスクアセスメントサービス」や「サイバーリスク評価サービス」などのサービスが各社から提供されており、セキュリティ評価専門のコンサルティングも行われている。
今後注目しておきたいのが、経済産業省及び内閣官房国家サイバー統括室が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の動向だ。両省庁は2026年3月27日、意見公募の結果を踏まえた「制度構築方針」を正式に公表し、2026年度末ごろの制度開始をめざしている(注4)。経済産業省及びIPAは、中小企業が同制度の認定(★3・★4)を取得しやすくするための支援策も進めている。
同制度は、取引先のセキュリティ対策状況の段階を星(★)の数で評価・可視化する仕組みだ。外部の委託先やベンダーのセキュリティを評価する際に活用できる可能性がある他、自社が取引先からマークの取得を求められる可能性もある。いずれにしても、今後の制度化の動きを注視しておきたい。
今後、自社及び外部の委託先やベンダーに求められるセキュリティ強化の水準はますます高まっていくと見られる。実際に損害が発生した場合の備えとして、サイバー保険への加入も対策の1つと言えるだろう。
(注1)IPA「情報セキュリティ10大脅威 2026」解説書[組織編](2026年3月)
https://www.ipa.go.jp/security/10threats/omgdg50000008fi8-att/kaisetsu_2026_soshiki.pdf
(注2)(注3)前掲、IPA「情報セキュリティ10大脅威 2026」解説書[組織編]「2位 サプライチェーンや委託先を狙った攻撃」の事例紹介による。
(注4)経済産業省「『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針』(SCS評価制度の構築方針)を公表しました」(2026年3月27日)
https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
※掲載している情報は、記事執筆時点のものです。
執筆=高橋 秀典
【TP】
最新セキュリティマネジメント