〒151-0053 東京都渋谷区代々木4-15-6-107
受付時間 | 9:00~17:00 |
|---|
定休日 | 土・日・祝 |
|---|
本ページではIT業のサイバー攻撃によるサプライチェーンリスクについて説明いたします。
●はじめに
サイバーリスクは、いまや企業経営における重要な課題の一つです。特に近年は、サプライチェーンを経由したサイバー被害が増加しており、中小企業も例外ではありません。攻撃者は大企業を直接狙うだけではなく、セキュリティ対策が比較的手薄な取引先や下請企業を標的とし、そこを経由して侵入を図るケースが増えています。警察庁、IPA(情報処理推進機構)が直近のデータをもとに注意喚起を行っています。こうした状況を受け、経済産業省は2027年より、サプライチェーン全体の安全性向上を目的とした「SCS(サプライチェーンセキュリティ)評価制度」の運用開始を予定しています。また、高度な破壊力を持つAI(クロード・ミトスClaude Mythos等)によるサイバー攻撃に対して、日本政府が緊急の対応を行っています。
●サプライチェーン攻撃とは ?
IT業(大手システムインテグレータ=SIer)のサプライチェーンは多くの企業で構成されているため、一つの企業の脆弱性が全体へのリスクにつながることがあります。いまやランサムウェアをはじめとしたサイバー攻撃は企業規模を選びません。セキュリティ対策が不十分な企業を無差別に攻撃するため、相対的にセキュリティリテラシーが低い、サイバー攻撃に対する対策が脆弱な中小企業が被害に遭うケースが増大しています。そこからサプライチェーン攻撃を通じて、大手取引先や関連会社のネットワークに侵入し、システムの乗っ取りやすい情報を搾取するといった事案が急増しています。
●サイバー被害の現況
令和8年警察庁のレポートでサイバー攻撃の被害状況について公表しています。組織の規模別で見ると、前年と同様に中小企業が約6割を占めています。業種別では、製造業が約4割を占めていますが、情報通信業も上位にあり、様々な業種で被害が確認されています。
●IT業における3つのサイバーリスク
① 踏み台リスク<取引先への被害の拡大>
自社のPCやネットワーク機器が攻撃者に乗っ取られ、取引先への攻撃の中継地点として悪用されるリスクです。
▼踏み台のメカニズム
・侵入:セキュリティ対策が比較的弱い企業のPCやサーバへマルウェアを感染させる。
・権限奪取:感染端末を足掛かりに、社内ネットワーク内部で権限を取得する。
・攻撃拡大:自社の認証情報を利用し、取引先や元請企業の機密情報・基幹システムへ攻撃を行う。
② 企業情報漏洩リスク
取引先情報や顧客情報など、自社が保有する第三者情報の漏洩は、社会的信用の失墜や損害賠償につながる可能性があります。単なるデータ紛失にとどまらず、事業停止や取引縮小など、企業経営そのものに重大な影響を及ぼすリスクがあります。
③ 自社のサイバー被害の対応
実際にサイバー被害を受けた場合、企業には迅速かつ専門的な対応が求められます。被害状況の確認、被害拡大防止、証拠保全、ログ解析など、デジタル・フォレンジックの対応が必要となりその費用は高額化しています。
●IT業のサイバー被害例
▼大手IT・情報処理サービス企業への攻撃
・システムの脆弱性を突かれ、サーバー内へ不正侵入が発生。
・委託を受けて管理していた顧客情報約156万件が流出。
▼法人向けメールサービスのゼロディ脆弱性悪用
・ITコミュニケーション企業が提供するメールサービスが攻撃を受ける。
・修正プログラムが提供される前の「ゼロデイ脆弱性」が悪用され、不正アクセスが発生。
▼コミュニケーションツール(Slack)のアカウント侵害
・従業員の私用端末がマルウェアに感染したことが原因でアカウントを乗っ取られる。
・リモートワーク環境やSaaS(クラウドサービス)のアクセス管理の盲点が浮き彫りになる。
▼クラウドストレージ上のデータ直接削除
・クラウド(Amazon S3など)のアクセスキー(IAMユーザー)を不正取得される。
・データを暗号化するウイルスは使わず、ストレージ内のバケット(データ保管場所)を直接削除・人質にする手法で、
企業のデジタル基盤が脅かされる。
▼AIデータ入力ツールの開発元を起点とした多重被害
・1社目(IT開発元):ランサムウェア攻撃を受け、システムが侵害される
・2社目(業務委託先):このITツールを使って作業をしていたため、連鎖的に二次被害を受ける。
・3社目以降(委託元の顧客):金融機関や大手証券会社、大学など複数の組織へ三次・四次被害として情報漏洩が拡大。
●サイバー攻撃に対する主な対策
サイバー攻撃への対策は、「技術的対策」と「人的対策」を組み合わせることが重要です。攻撃手法は日々巧妙化しているため、一つの対策だけに依存せず、複数の防御を重ねる「多層防御」の考え方が求められます。
▼外部接続資産(EAS)の徹底点検
VPNや公開Webサーバーのアカウント管理、脆弱性を放置しない仕組みづくり。
▼多要素認証(MFA)の必須化
パスワードだけの認証を廃止し、従業員の端末紛失やアカウント侵害を防ぐ。
▼クラウド権限(最小特権)見直し
アクセスキーや権限のスコープを最小限にし、設定ミスを狙った攻撃を防ぐ。
▼サプライチェーンの統制
委託先や利用する外部ツールの安全性を確認する。※SCS評価の提出。
▼SCS(サプライチェーンセキュリティ)評価制度の活用
SCS制度を活用することで、自社のセキュリティ対策状況を可視化し、改善につなげることが可能です。
●SCS(サプライチェーンセキュリティ)評価制度とは?
経済産業省が2027年3月から本格運用を予定している、企業のセキュリティ対策レベルを客観的に可視化・評価する制度です。サプライチェーン全体のサイバーレジリエンス(対応力・復旧力)向上を目的としており、IPA(情報処理推進機構)が運用を担います。
▼主なポイント
・セキュリティ対策の実施状況に応じて、星★1〜★5などで評価される仕組みが想定されています。
・専門機関などの第三者によるレビューを通じて自社の自己評価だけでなく客観的なセキュリティ対策が可能。
▼評価のレベル
・星★1~2:IPAが推進する自己宣言などの下位レベル。
・星★3~5:専門家や評価機関による客観的な評価が必要となる上位レベル。
▼中小企業(下請け、パートナー企業)への影響
今後、大手の親企業(発注元)が「SCS評価で★2以上を取得していること」を取引の条件に掲げるケースが増えると予想され、対応が遅れると、新規案件の獲得が難しくなったり、既存の取引から外されたりするリスクが考えられます。
※SCS評価制度に関する問い合わせ先:IPAセキュリティセンター リスクマネジメント部 セキュリティ制度グループ 【メール】isec-scs@ipa.go.jp