サプライチェーンリスクとは？求められるサプライチェーン攻撃への対応

近年、日本だけでなく世界中でサプライチェーンを狙ったサイバー攻撃が増加し、報道等で「サプライチェーン」という言葉を見聞きすることが増えています。
この記事では、サプライチェーンについて解説したうえで、サプライチェーン攻撃において考慮すべき対象や、サプライチェーンセキュリティ対策を怠った場合の被害事例、対策についてご紹介します。

サプライチェーンリスクとは

サプライチェーンとは

サプライチェーンとは、製品やサービスが生産者から最終消費者に届くまでの一連の流れ全体を指します。原材料の調達から始まり、製造、在庫管理、物流、販売までの全てのプロセスが含まれます。例えば、スマートフォンのサプライチェーンでは、レアメタルなどの原材料採掘から、部品製造、組み立て、倉庫での保管、小売店への配送、そして最終的にお客様の手元に届くまでの全ての過程が一つのチェーンとして繋がっています。

サプライチェーンリスクとは

サプライチェーンリスクとは、サプライチェーンの中で発生する可能性のある問題や障害のことを指します。これらのリスクは企業の事業継続性や業績に重大な影響を及ぼす可能性があります。
例としては、2011年のタイの大洪水では多くの製造業が部品調達に支障をきたし、世界的な供給網に大きな混乱が生じました。このように、一つの地域や企業で発生した問題が、グローバルなサプライチェーンを通じて広範囲に影響を及ぼす可能性があります。

サプライチェーンリスクには、自然災害による生産施設の被害、重要な部品サプライヤーの突然の倒産、地政学的な緊張による原材料の調達困難、輸送経路の混乱、品質管理の問題などが含まれます。特に近年深刻化しているのがサイバー攻撃によるリスクです。製造工程の自動化や在庫管理システムのデジタル化が進む中、サプライチェーン全体がサイバー攻撃の標的となっています。例えば、生産管理システムへの不正アクセスによる生産ラインの停止、物流システムのランサムウェア感染による配送網の麻痺、取引先のネットワークを経由した機密情報の漏洩などが発生しています。

サプライチェーンセキュリティとは

サプライチェーンセキュリティとは企業や組織がサプライチェーンにおいて情報セキュリティを維持するための施策や取り組みを指します。昨今のサイバーリスクの高まりを受けて、セキュリティリスクを低減し自社の経営を継続するために、このサプライチェーンセキュリティの必要性が訴えられています。
サプライチェーンセキュリティでは、サプライチェーン全体における情報の流れや取引に関わるすべての企業やシステムを対象としているため、セキュリティリスクがより複雑になることがあります。
場合によっては、情報セキュリティ対策が不十分なことで取引先や顧客に影響が生じる可能性もあるため、しっかりと対策を講じましょう。

サプライチェーン攻撃の対象

一言でサプライチェーン攻撃といっても具体的にどういった手口なのでしょうか。業種や企業によって詳細は異なりますが、ここでは、取引先企業や関係会社・インフラ事業者を経由した攻撃と、ソフトウェア等のテクノロジーを利用した攻撃について解説します。

取引先企業や関係会社、インフラ事業者を経由した攻撃

取引先や関係会社

「サプライチェーン」と聞いて真っ先に思い浮かぶのが、自社と直接取引している企業や、グループ会社等の関係会社ではないでしょうか。攻撃者はターゲット企業に直接サイバー攻撃を仕掛けるだけでなく、ターゲット企業の情報システムに直接攻撃することが難しい場合に、ターゲット企業のサプライチェーンに参加する取引先や関係会社に対して、悪意のあるソフトウェアを送り込み、不正にアクセスすることでターゲット企業に対する攻撃を仕掛けることがあります。
取引先や関係会社がサイバー攻撃の被害に遭ってしまうと、「取引先が操業停止に陥り、仕入れ品が納品されないため、自社の出荷スケジュールに遅延が発生する」、「委託先が不正アクセスを受けて、自社の営業秘密である図面データが漏えいする」といった被害が考えられます。
そのため、企業や組織はサプライチェーン全体におけるリスクを把握し、セキュリティシステムの構築、情報共有ルールを定めるなど、サプライチェーンセキュリティの強化が必要です。また、取引先や関係会社とのコミュニケーション強化や、セキュリティに関する契約条項の明確化なども重要になります。

インフラ事業者

インフラ事業者とは、電気・水道・ガスといったライフライン企業、インターネットやクラウドサービス事業者、ビルオーナーなどが挙げられます。これらのインフラ事業者を経由してサイバー攻撃を受ける可能性があるため、自社に及ぼすリスクも対策する必要があります。
たとえば、クラウドサービスプロバイダーが攻撃を受けることで、そのクラウドサービスを利用する多数の企業や組織にも被害が発生することがあります。
これにより想定される被害としては、「自社が利用しているクラウドサービスが不正アクセスを受けて、クラウドに保存していた顧客情報が漏えいする」、「自社が入居しているビルの管理システムがサイバー攻撃を受けて、オフィスへの電力供給や空調が停止する」といったものがあります。
そのため、インフラ事業者にも情報セキュリティポリシーの策定や、セキュリティ監視体制の整備、サイバー攻撃を検知するシステムの導入等の対策が必要です。

ソフトウェアやハードウェアなどのテクノロジーを利用した攻撃

取引先や関係会社、インフラ事業者を経由したネットワーク系の攻撃についてご紹介しましたが、ここからはソフトウェアやハードウェアといったテクノロジーを利用した攻撃についてご紹介します。

ハードウェア

サプライチェーン攻撃はハードウェアを利用して実行されることもあります。自社が製品に組み込むために仕入れた電子部品等の中に、模造品（偽物）が紛れ込んでいた場合、完成品としての製品の品質、しいては自社の信頼に関わる問題となります。また、エンドユーザーが購入した製品の中に模造品のパーツが含まれていた場合に「故障しやすくなる」「仕様通りの動作をしない」「突然発火する」などの被害が考えられます。この模造品対策の一例として、日本産業規格（JIS）において、ISO 9001をベースに航空宇宙産業特有の要求事項を織り込んだ「JIS Q 9100:2016」にて、新たに”8.1.4模倣品の防止”が要求事項として追加されています。

出典：ニセモノ半導体にご用心　真贋判定「3割が不正品」: 日本経済新聞 （nikkei.com）

出典：電子部品の市場流通品に対するスクリーニング（模倣品対策）｜デバイス／モジュールの信頼性評価、電気的特性測定・評価｜OKIエンジニアリング (oeg.co.jp)
JIS Q 9100の分かり易い解説について（第4回-1） - 名古屋品証研株式会社（hinshoken-tfm.jp）

ソフトウェア

ハードウェアと同様に、ソフトウェアについてもサプライチェーン攻撃への対策を講じる必要があります。
アメリカでは、政府も使用していたソフトウェアの正規アップデートファイルに「マルウェア」が仕込まれていたという事件がありました。これを受け、ソフトウェアのサプライチェーンセキュリティ対策としてSBOM（Software Bill Of Materials：ソフトウェア部品表）の取り組みが進んでいます。

※SBOM（Software Bill Of Materials：ソフトウェア部品表）・・・製品に含まれるソフトウェアを構成するコンポートネント、依存関係、ライセンスデータ等をリスト化したもの。

出典：INTERNET Watch「ソフトウェアサプライチェーンをセキュア化するためのガイダンス、推奨事項を要チェック」（impress.co.jp）
ニュートン・コンサルティング「サイバー/デジタルリスク Navi　サイバーセキュリティとDXの最新情報」（newton-consulting.co.jp）

クラウドサービス(SaaS)

近年のビジネス環境において、クラウドサービス（SaaS）の活用は業務効率化に大きく貢献する一方で、新たなサプライチェーンリスクをもたらしています。特に重要な課題として、SaaS事業者と利用企業との間における「開示すべき情報」と「収集すべき情報」に関する認識のギャップが挙げられます。
SaaS事業者は一般的にサービスの機能や利便性を重視した情報開示を行う傾向にありますが、利用企業側はセキュリティ対策やデータ管理体制、事業継続性など、より詳細なリスク管理情報を必要としています。このギャップを埋めるためには、契約前の段階から両者間で必要な情報について明確な合意を形成することが重要です。
具体的には、以下のような情報について、事業者と利用者の間で認識を合わせる必要があります。

• データの保管場所と管理方法
• セキュリティインシデント発生時の対応体制
• サービス停止時の事業継続計画
• 第三者委託の有無とその管理体制
• データの暗号化や認証方式に関する詳細

このような情報の認識合わせを怠ると、重要な業務データの漏洩や、予期せぬサービス停止による業務への影響など、深刻なリスクにつながる可能性があります。そのため、SaaSの選定・運用にあたっては、利用企業側が主体的に必要な情報を特定し、事業者との間で十分なコミュニケーションを図ることが不可欠です。

出典：クラウドサービス（SaaS）のサプライチェーンリスクマネジメント実態調査

サプライチェーンセキュリティの具体的な対策

サプライチェーン全体のリスク評価の実施

サプライチェーン攻撃の被害を防ぐため、業務委託や情報管理における規則の徹底が非常に大切です。日ごろから取引先や委託先、利用しているサービス提供会社の情報セキュリティ対応状況の確認や監査を行いましょう。

サプライチェーン全体のセキュリティ管理体制や監視体制の構築

サプライチェーン全体にわたるセキュリティ管理体制を構築し、セキュリティ管理責任者を明確にしましょう。また、取引先や関係会社との契約書に、セキュリティ管理に関する規定を明確にすることも重要です。報告体制やインシデント対応計画の整備を行うとともに、定期的な訓練を行い、適宜見直しましょう。さらに、情報漏えいが発生した場合に備えて、どの情報がどれだけ漏えいしたか等を後から調査できるように、パソコンの操作ログ等を収集する仕組みの導入も必要です。

製造業においての注意点

製造業等においては、納品物の検証や出荷検査を徹底し、模造品や脆弱なソフトウェアが紛れ込む、または出荷しないように注意します。さらに、原料や部品の調達先を複数用意しておくことで、サプライチェーン寸断による生産停止や出荷遅延等のリスク低減につながります。

もしもサプライチェーン攻撃を受けてしまったら

万全なセキュリティ対策を講じていてもサプライチェーン攻撃を受けてしまう可能性は否定できません。
万が一サプライチェーン攻撃の被害を受けてしまったら、事前に策定した報告体制やインシデント対応計画に従い、影響の調査および原因の追究を行います。個人情報の漏えいがあった場合には、個人情報保護委員会への報告が必要となります。また、原因の追究を自社で行うことには限界があるため、セキュリティ会社など専門機関等の協力を得るようにしましょう。

出典：IPA/情報セキュリティ10大脅威 2025 組織第2位「サプライチェーンや委託先を狙った攻撃」

ALSOKでは、情報漏えいやサイバー攻撃を防ぐ、さまざまな情報セキュリティのサービスをご提供しています。警備のプロが提供する、情報セキュリティサービスをぜひご活用ください。

その他参考資料

サプライチェーンにおける情報セキュリティリスクに適切に対応するためには、内閣サイバーセキュリティセンター(NISC)が公開している「外部委託等における情報セキュリティ上のサプライチェーン・リスク対応のための仕様書策定手引書」を参考にすることをお勧めします。
この手引書では、外部委託先との契約時に考慮すべき情報セキュリティ要件や、リスク評価の方法、適切な管理体制の構築方法などが詳しく解説されています。特に、委託先の選定から契約終了後のフォローアップまで、各フェーズで必要となる具体的な対策や確認項目が網羅的に記載されており、実務に即した形で活用することができます。
サプライチェーンリスク対策の重要性が増す中、本手引書を活用することで、より体系的かつ効果的なリスク管理体制を構築することが可能となります。

おわりに