サプライチェーン攻撃を防ぐ対策｜自社と取引先で取り組むべきポイント

「サプライチェーン攻撃を防ぐには、具体的にどのような対策が必要？」
「なぜ自社だけでなく、取引先のセキュリティまで考えなければならないの？」

近年、セキュリティが強固な大手企業を直接狙うのではなく、守りの手薄な関連会社や取引先を踏み台にするサプライチェーン攻撃が増加しています。ひとたび被害が発生すれば、自社の操業停止だけでなく取引先への損害賠償や社会的信用の失墜を招きかねません。企業規模を問わず、すべての組織が当事者となり得る問題です。

本記事では、サプライチェーン攻撃対策について以下の内容を解説します。

• サプライチェーン攻撃対策が重要視される理由
• 実際に発生した攻撃事例
• 対策の参考になるガイドライン
• 自社およびサプライヤーで実施すべき具体的な対策
• 対策を進める際の注意点

本記事を読むことで、サプライチェーン全体を見据えた実践的な対策のポイントが理解できます。サイバー攻撃のリスクを最小限に抑えたい経営者や実務担当者の方は、ぜひご一読ください。

サプライチェーン攻撃対策が重要視される理由

サプライチェーン攻撃は、セキュリティ対策が強固な大手企業を直接狙うのではなく、守りが手薄になりやすい関連会社や取引先を踏み台にして侵入する手口です。自社が十分な対策を講じているつもりでも、取引先を経由して攻撃を受ける可能性があります。規模や業種を問わず、どの企業も当事者になり得る点が大きな特徴です。

ひとたび被害が発生すれば、自社の操業停止に追い込まれるだけでなく、取引先へ多大な損害を与えてしまう可能性も否定できません。損害賠償の請求や社会的信用の失墜は、その後の経営を揺るがす重大な事態を招きます。被害を未然に防いで事業を継続するためには、自社のみの対策に留まらず、サプライチェーン全体で強固な防御体制を築くことが重要です。

サプライチェーン攻撃の詳しい内容については、以下の記事をご覧ください。

▼関連記事

サプライチェーン攻撃の仕組み｜被害を防ぐ4つの基本対策

サプライチェーン攻撃の仕組みを「サービス」「ビジネス」「ソフトウェア」の3つの手口別に解説。取引先との連携や脆弱性診断など、自社と関連企業を守るための具体的な対策方法を紹介します。

www.aeyescan.jp

2024.02.20

サプライチェーン攻撃の事例

サプライチェーン攻撃では、取引先や委託先を突破口として侵入されるケースのほか、特定の企業が侵害されたことで取引関係にある他社へ影響が波及するケースもあります。実際の事例を通じて、侵入経路と被害の広がり方を具体的に確認していきましょう。

1. 大手飲料・食品メーカーへのランサムウェア攻撃
2. 流通大手企業へのランサムウェア攻撃
3. プレスリリース配信サービス事業者への不正アクセス

事例1：大手飲料・食品メーカーへのランサムウェア攻撃

2025年9月、ある大手飲料・食品メーカーでシステム障害をきっかけに、大規模なランサムウェア攻撃が発覚しました。調査の結果、同社グループ内の拠点にあるネットワーク機器を経由してデータセンターへ侵入され、サーバーやパソコンのデータが広範囲にわたって暗号化されていたことが判明。この攻撃により、一部の端末から情報が流出しました。個人情報流出の可能性があったものの、インターネット上で公開された事実は確認されていません。

同社は封じ込め対応やシステム復旧作業を実施し、再発防止に向けたセキュリティ強化を進めました。具体的には、通信経路やネットワーク制御の再設計、接続制限の厳格化などを行い、グループ全体での防御体制を見直しています。

本件は、一部拠点の脆弱性がグループ全体へ影響を及ぼすリスクを示した事例です。同時に、迅速な対応と継続的な再発防止策の実施が、被害の拡大を抑えるうえで重要であることも示しています。

事例2：流通大手企業へのランサムウェア攻撃

ある流通大手企業では、2025年10月にランサムウェアによる攻撃を検知。同社は攻撃を検知した当日にシステムの切り離しとネットワーク遮断を実施し、被害拡大の防止に努めました。あわせて、セキュリティ監視体制の強化や全パスワードの変更にも着手しています。

しかし、データの暗号化とシステム障害が発生し、大規模なサービス停止に至りました。調査の結果、物流システムおよび社内システムが感染し、一部のデータやバックアップデータが暗号化されて使用不能となったことが確認されています。さらに、当該データの一部は攻撃者によって窃取され、外部に公開される事態となりました。

侵入経路として判明したのは、多要素認証を適用していなかった業務委託先向け管理者アカウントのIDとパスワードの漏洩です。当該認証情報が不正利用され、管理者権限でのアクセスが行われていたことが確認されています。

この事案は、同社が提供していた物流業務の受託サービスを利用していた複数企業のサービス停止にもつながっており、サプライチェーン上のひとつの企業が攻撃されることで、他社にも影響が及ぶリスクを示しています。

事例3：プレスリリース配信サービス事業者への不正アクセス

2025年4月、プレスリリース配信サービスを提供する国内事業者のサーバーが不正アクセスを受け、個人情報や発表前のプレスリリース情報が外部に漏洩する事態となっています。

当該事業者の管理者向けサイトでは、IPアドレス認証、BASIC認証、ログインパスワード認証という三段階の認証が設けられていました。しかし、追加経緯が不明なIPアドレスが存在しており、認証に悪用されて不正アクセスが成立。

本件は、関連会社や取引先を踏み台にする典型的なサプライチェーン攻撃とは異なり、共通基盤として利用されているサービス事業者の侵害によって、利用企業へ間接的に影響が及んだ事例といえます。

サプライチェーン攻撃対策の参考になるガイドライン

サプライチェーン攻撃対策を進めるには、自社だけでなく取引先や委託先を含めた全体で対策する視点が求められます。その際に参考となるのが、国や専門機関が公表しているガイドラインです。これらの指針は経営層の関与やリスク管理体制の整備、技術的対策の方向性などを体系的に示しており、対策を具体化する際の参考になります。

ガイドライン名	発行主体	主な目的・特徴	活用のポイント
サイバーセキュリティ経営ガイドライン	経済産業省	経営者が認識すべきサイバーリスクと、経営視点での対策方針を提示	経営層の責任明確化、全社的な体制構築の指針として活用
実務者のためのサプライチェーンセキュリティ手引書	IPA	サプライチェーン全体のリスク管理や取引先対策の具体例を提示	委託先評価、契約条項整備、点検・監査の実務に活用
サイバーセキュリティフレームワーク	NIST	「識別・防御・検知・対応・復旧」の5機能でリスク管理を体系化	自社の対策状況を整理し、抜け漏れを確認する枠組みとして活用
サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）	経済産業省	サプライチェーン企業のセキュリティ対策を共通基準で評価し可視化する制度構築方針案	発注企業が取引先に提示すべき対策段階を明確化し、対策実施状況の確認に活用

「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」は、対策段階（★3・★4など）を設けることで、企業が自社の位置付けに応じた必要な対策を選択しやすくなることが期待されており、2026年度中の開始を目標に検討が進められています。

ガイドラインは単に読むだけでなく、自社の実情に合わせて具体策に落とし込むことが重要です。公的な指針を活用することで、対策の網羅性を高めるとともに、取引先に対しても説明可能なセキュリティ体制を構築できます。

自社で実施すべきサプライチェーン攻撃対策

サプライチェーン攻撃を防ぐためには、自社内のセキュリティ体制を多角的に見直す必要があります。組織・技術・人の三つの観点から対策を講じ、侵入リスクを低減して被害拡大を防ぎましょう。

1. 組織的対策
2. 技術的対策
3. 人的対策

組織的対策

サプライチェーン攻撃対策を実効性のあるものにするには、組織としてのルール作りや体制整備が欠かせません。責任の所在を明確にし、平時からルールや対応手順を定めておけば、被害発生時の混乱を防げるでしょう。

1. インシデント発生時の連携体制を整える
2. ソフトウェア・クラウドサービスの利用ルールを見直す

インシデント発生時の連携体制を整える

サイバー攻撃を完全に防ぐことは非常に難しいため、万が一の侵入を前提とした事前の備えが欠かせません。例えば、セキュリティ事故が発生した際に対応を主導する専門チーム「CSIRT（シーサート）」を組織内に構築しておくことが有効です。あらかじめ緊急時の役割分担や連絡ルートを明確にしておけば、被害が他の部署や取引先へ広がるのを最小限に抑えられます。関係各所とスムーズに連携できる仕組みを作り、サプライチェーン全体の安全を守りましょう。

▼関連記事

CSIRTとは｜構築方法とSOCとの違いを解説

CSIRT（Computer Security Incident Response Team）はセキュリティ事故対応チーム。SOCとの違いと構築方法を解説します。

www.aeyescan.jp

2024.02.19

ソフトウェア・クラウドサービスの利用ルールを見直す

従業員が会社の許可を得ずに、個人でクラウドサービスやソフトウェアを業務利用することを「シャドーIT」と呼びます。管理されていないツールは脆弱性が放置されるリスクがあるため、組織として一元管理できる体制を整えることが大切です。

許可されたサービスのみを利用するというルールを徹底すれば、管理外のシステムの脆弱性から侵入されるリスクを下げられます。また、厳しいルールを設けるだけでなく、未許可のデバイスやサービスに頼らなくても、効率よく業務が進められる環境の整備も不可欠です。従業員が独断で新しいツールを導入しようとする動機がなくなれば、結果として組織全体のセキュリティレベル底上げにつながります。

技術的対策

サイバー攻撃から自社のシステムやデータを守るためには、ITツールや最新のセキュリティ技術を活用した技術的対策が不可欠です。攻撃者は常にシステムの弱点を探しているため、侵入を未然に防ぐ仕組みと、万が一入り込まれた際に素早く検知する仕組みの両方を備えなければなりません。脅威に対応できるよう、多層的な防御を構築しましょう。

1. アクセス権限・アカウント管理を最小化する
2. 脆弱性診断を実施する
3. EDR／XDRなどで不正挙動を検知する
4. ゼロトラストの考え方を取り入れる

アクセス権限・アカウント管理を最小化する

組織内のデータやシステムへのアクセスは、業務に必要な最低限の範囲に絞って許可することが基本です。すべての従業員に広範な権限を与えてしまうと、万が一アカウントが乗っ取られた際の被害が甚大になってしまいます。特に、管理者権限を持つIDは利用者を限定し、利用履歴を記録・監視しておくと不正利用の早期発見につながります。退職者や異動者のアカウントを速やかに無効化するなどの対応も欠かせません。

また、IDとパスワードだけの認証に頼らず、複数の要素を組み合わせる「多要素認証（MFA）」の導入も有効な対策です。悪意のある第三者にパスワードを盗み見られたとしても、静脈認証など別の認証方法を組み合わせれば不正ログインのリスクを大幅に低減できます。

脆弱性診断を実施する

サプライチェーン攻撃では、公開サーバーやVPN機器、Webアプリケーションなどの脆弱性が初期侵入口として悪用されるケースが多く見られます。修正されないまま放置されている既知の脆弱性は、攻撃者にとって格好の標的です。自社が踏み台にされないためにも、定期的に脆弱性診断を実施しましょう。

脆弱性診断では、サーバーやネットワーク機器、Webアプリケーションなどに潜むセキュリティ上の弱点を洗い出します。発見された問題点に対しては、速やかにパッチ適用や設定変更などの対策を講じる必要があります。小さな不備であっても、放置すれば重大なインシデントにつながる可能性があるため、継続的に診断してセキュリティの安全性を高めましょう。

▼関連記事

脆弱性診断の仕組みと選定｜手動診断とツール診断の使い分け

脆弱性診断の仕組みから選定まで解説。手動診断とツール診断のメリット・デメリット、選定基準を紹介します。

www.aeyescan.jp

2023.07.11

EDR／XDRなどで不正挙動を検知する

サイバー攻撃の手口が巧妙化している現代では、攻撃者の侵入を完全に防ぎ切ることは難しいでしょう。そこで重要になるのが、万が一侵入を許してしまった際に素早く異常に気づくためのEDRやXDRといった仕組みです。

EDRは、PCやサーバーなどの端末をリアルタイムで監視し、不審な挙動を検知・対応する仕組みです。マルウェアの実行や不審な通信などを検出し、被害の拡大を防ぐための隔離や遮断を行います。

XDRは、エンドポイントだけでなく、ネットワークやクラウド環境など複数の領域を横断して監視・分析を行う仕組みです。異なるログ情報を統合的に分析することで、攻撃の全体像を把握しやすくなります。

侵入されることを前提とした防御体制を整えれば、迅速な初動対応が可能になり、取引先を含めたサプライチェーン全体への被害拡大を抑制しやすくなります。

▼関連記事

EDRとは｜セキュリティ強化に欠かせない理由と選び方のポイント

EDRは巧妙化するサイバー攻撃に備えるため、多くの企業で導入が進んでいます。本記事ではEDRの仕組みや必要性、導入時のポイントを解説します。従来のアンチウイルス（EPP）と併せて、導入を検討しましょう。

www.aeyescan.jp

2025.12.04

XDRとは｜企業が導入を検討すべき理由やEDR・NDRとの違い

巧妙化するサイバー攻撃に対し、新たな対策として注目されるXDR。本記事では、XDRの基本やEDR・NDRとの違い、導入メリット・注意点までをわかりやすく解説します。自社のセキュリティ強化を検討している担当者の方は必見です。

www.aeyescan.jp

2025.12.04

ゼロトラストの考え方を取り入れる

サプライチェーン攻撃では、委託先や取引先を踏み台にして内部へ侵入されるケースがあるため、「社内ネットワークは安全」という従来の境界型対策だけでは限界があります。そこで有効なのが、社内外関係なくすべてのアクセスを疑い、都度検証する「ゼロトラスト」の考え方です。ゼロトラストでは、認証・認可を強化しつつ、アクセス制御や継続的な監視により不正利用を早期に見つけやすくします。取引先とのネットワーク接続が当たり前となった現代では、こうした仕組みがリスク低減に欠かせません。

▼関連記事

ゼロトラストセキュリティとは｜必要とされる理由と検討すべき対策

テレワークやクラウド利用が普及し、ゼロトラストセキュリティが注目されています。サイバー攻撃は巧妙化しているため、従来の対策に加えて新しい対策の導入が不可欠です。本記事では、ゼロトラストの基本から具体的な対策、導入事例までを解説します。

www.aeyescan.jp

2025.12.04

人的対策

セキュリティ対策でどれほど高度な技術を導入しても、従業員のミスや油断から深刻な被害が発生するリスクをなくすことはできません。そのため、一人ひとりがセキュリティの重要性を自分事として捉え、適切な判断ができるよう継続的に働きかける必要があります。

1. 定期的にセキュリティ教育を実施する
2. 標的型攻撃メール訓練を行う

定期的にセキュリティ教育を実施する

サプライチェーン攻撃では、標的型メールや認証情報の窃取など、人の行動を起点とする手口が多く見られます。高度なセキュリティ製品を導入していても、従業員の判断ミスや確認不足がきっかけとなり、侵入を許す可能性があります。そのため、人的対策を強化することが不可欠です。

一人ひとりのセキュリティリテラシーが向上すれば、技術的な対策だけでは防ぎきれないうっかりミスによる事故を減らせます。また、正しい知識を共有することは、情報の取り扱いに対する責任感を養い、内部不正のリスクを抑止する効果も期待できます。

標的型攻撃メール訓練を行う

サプライチェーン攻撃では、取引先や関係会社を装ったメールを送り付け、認証情報の入力や不正ファイルの実行を誘導する手口が多く確認されています。巧妙に作られたメールは一見して正規の連絡と区別がつきにくく、従業員の判断が問われます。そのため、実践的な訓練を通じて対応力を高めることが重要です。

標的型攻撃メール訓練では、実際の業務環境に近い形式で偽メールを配信します。不審なリンクをクリックしないことはもちろん、万が一クリックした場合でも速やかに報告する行動を身に付けることが目的です。体験型の教育を繰り返すことで、攻撃の兆候に気付く力が徐々に高まります。

サプライヤーに求めるべきセキュリティ対策

自社のセキュリティを強化するだけでは、サプライチェーン攻撃を完全に防ぐことはできません。取引先の管理体制が不十分であれば、そこが攻撃の突破口となって自社にも甚大な被害が及ぶ可能性があるからです。

そのため、連携するサプライヤーに対しても一定のセキュリティ水準を求め、協力して安全性を高めていく取り組みが必要になります。

1. セキュリティ要件を契約・ガイドラインに明記する
2. 定期的な確認・監査を実施する
3. セキュリティ教育・情報共有を行う

セキュリティ要件を契約・ガイドラインに明記する

取引先に対してセキュリティ対策を徹底してもらうためには、口頭での依頼に留めず、契約書や仕様書へ具体的な要件を記載することが重要です。自社が求めるセキュリティレベルの基準や、万が一のインシデント発生時における報告義務などをあらかじめ明記しておきましょう。契約上の義務として定めることで、法的・契約的な拘束力が生まれ、サプライヤー側の対策意識を高められます。契約内容の見直しは、自社を守るだけでなく、取引先が攻撃の標的にされるリスクを減らすことにも繋がるはずです。

定期的な確認・監査を実施する

取引先と協力してセキュリティレベルを高めるには、単にルールを伝えるだけでなく、その実施状況を正しく把握することが欠かせません。対策が形式的なものにならないよう、チェックシートを用いた自己診断や定期的な監査を行い、現場の実践状況や課題を確認しましょう。現状把握を継続すれば、お互いの管理体制に潜む穴を早期に見つけ出せます。

もし改善が必要な箇所が見つかった場合は、一方的に指摘するのではなく、具体的な解決策を一緒に検討するなどのフォローアップも行いましょう。サポートを丁寧に行うことで、サプライチェーン全体の防御力はより向上します。

セキュリティ教育・情報共有を行う

自社だけで高いセキュリティ基準を維持していても、取引先の対策が追いついていなければ、そこが攻撃の突破口になり得ます。そのため、自社が蓄積してきたサイバー攻撃の脅威情報や具体的な対策のノウハウを、サプライヤーへ提供する取り組みを行いましょう。攻撃の手口は日々進化しているからこそ、最新の情報をいち早く共有し、組織の枠を越えて連携を深めていくことが不可欠です。

サプライチェーン攻撃対策を進める際の注意点

サプライチェーン攻撃対策の進め方を誤ると、コストばかりが増大し、十分な効果が得られないおそれがあります。実効性を高めるためには、以下の3つのポイントを押さえましょう。

1. 完璧を目指さず、優先順位を決める
2. IT部門だけに任せない
3. コストと実効性のバランスを考える

完璧を目指さず、優先順位を決める

サプライチェーン攻撃対策では、すべての取引先やシステムに対して最高水準のセキュリティ対策を求めることは現実的ではありません。人的・金銭的なリソースには限りがあるため、網羅的に一度で強化することは難しいのが実情です。無理に完璧を目指すと、かえって対策が進まなくなるおそれがあります。

重要なのは、事業継続への影響度を基準に優先順位を決めることです。機密情報を扱うシステムや、停止すると業務が大きく滞る接点を洗い出し、リスクの高い領域から対策を強化しましょう。

IT部門だけに任せない

サプライチェーン攻撃への対策は、単なるツールの導入やネットワークの設定だけで完結するものではありません。取引先の選定基準や契約内容の決定、他社との連携体制の構築など、ビジネスプロセス全体に深く関わっています。そのため、IT部門だけに任せるのではなく、経営層が主体的に関与することは不可欠です。経営層が方針を明確に示し、必要な予算や人員を確保することで、対策は具体化します。サプライチェーン攻撃対策を経営戦略の一部として捉え、持続的な安全性向上につなげましょう。

コストと実効性のバランスを考える

高度なセキュリティツールを導入するには、多額の費用が必要になることが珍しくありません。そのため、自社が抱えるリスクの大きさと、対策にかけるコストの妥当性を慎重に評価する必要があります。守るべき情報の価値や、被害に遭った際の影響度を具体的に想定し、投資に見合った効果が得られるかを判断することが重要です。

また、過度にルールを厳しくして業務効率が低下すると、シャドーITの発生やルール無視を招くリスクが高まります。セキュリティを強固にしながらも、従業員の利便性を損なわないような運用方法を模索しましょう。技術的な対策と現場の使い勝手のバランスを意識し、無理なく続けられる防御体制を築いていくことが大切です。

まとめ｜サプライチェーン攻撃対策は自社＋取引先で考えることが重要

サプライチェーン攻撃は、セキュリティの弱い取引先や関連会社を踏み台にして、組織全体に被害を広げる巧妙な手法です。どれほど自社の防御を固めていても、繋がりのあるどこか一社に守りの甘い部分があれば、そこが攻撃の突破口になってしまいます。そのため、自社のみの対策で満足せず、サプライチェーン全体で防御力を高める意識が欠かせません。

被害を未然に防ぐには、組織的なルールの整備、ツールの導入による技術的な備え、従業員の意識を高める教育をバランスよく組み合わせることが大切です。また、取引先に対しても具体的なセキュリティ要件を提示し、お互いに情報共有を行える信頼関係を築いていく必要があるでしょう。

特に、攻撃の入り口となりやすいシステムの脆弱性を放置しないことは、もっとも基本的かつ重要な対策の一つです。サーバーやネットワーク機器のパッチ管理に加え、外部公開されているWebアプリケーションの安全性を継続的に確認することが欠かせません。定期的に脆弱性診断を実施し、リスクの高い領域から優先的に対処していきましょう。

とりわけWebアプリケーションは外部から直接アクセスされるため、既知の脆弱性や設定不備が初期侵入に悪用されやすい領域です。効率よくWebアプリの脆弱性を発見し、自社がサプライチェーンの“踏み台”とされるリスクを低減したい場合は、高精度な自動診断を提供するAeyeScanが役立ちます。自社のビジネスリスクを効果的に低減させたい方は、まずAeyeScanの資料をダウンロードしてみてください。

著者：榊原敦子（シニアカスタマーマーケティングマネージャー）
技術監修：関根 鉄平（執行役員 兼 CX本部長）