サプライチェーンリスク対策の重要性とは?
~委託先・取引先が原因となるサイバー攻撃から企業を守るために~
2025年に相次いだサイバー攻撃から考えるサプライチェーンリスク対策
近年、ランサムウェアや情報漏えい事故の多くで、攻撃者は標的企業そのものではなく、取引先や業務委託先などサプライチェーン上の弱点を狙う傾向を強めています。
2025年には、VPN機器の脆弱性や認証情報の管理不備、業務委託先のアカウントを悪用した不正アクセスなどを起点とする大規模なセキュリティインシデントが相次いで発生しました。これらの事例は、自社のみならず取引先や委託先を含めたサプライチェーン全体でのセキュリティ対策が不可欠であることを改めて示しています。
また、情報処理推進機構(IPA)が公表する「情報セキュリティ10大脅威 2025」においても、「ランサムウェアによる被害」と「サプライチェーンや委託先を狙った攻撃」が上位の脅威として挙げられており、多くの企業・組織において継続的な対策が求められています。

企業のDX推進やクラウドサービス利用の拡大に伴い、多くの組織が外部ベンダーや業務委託先とシステム連携を行っています。しかし、その中の1社でもセキュリティ対策が不十分であれば、攻撃者の侵入口となり、自社環境へ影響が及ぶ可能性があります。
サプライチェーンを経由した攻撃は、自社のセキュリティ対策だけでは防ぎきれないケースも少なくありません。そのため、取引先や委託先を含めたリスクの把握と適切なアクセス管理を実施し、サプライチェーン全体でセキュリティレベルを向上させることが重要となっています。
ランサムウェア被害の現状
警察庁が公表しているサイバー空間をめぐる脅威に関するレポートによると、ランサムウェアによる被害は依然として高い水準で推移しています。特に、VPN機器やリモートデスクトップ経由で侵入されるケースが多く報告されており、認証情報の漏えいやアカウント管理の不備が攻撃の起点となる事例が後を絶ちません。
また、攻撃者は一度ネットワーク内部への侵入に成功すると、権限昇格や横展開を行いながらシステム全体へ攻撃を拡大させる傾向があります。その結果、業務停止や情報漏えい、復旧対応などにより企業活動へ大きな影響を及ぼします。
このような被害を防ぐためには、脆弱性対策だけでなく、認証情報やアクセス権限の適切な管理が重要となります。

サプライチェーンにおけるセキュリティ統制の必要性
近年のセキュリティインシデントでは、自社の従業員アカウントだけでなく、業務委託先や保守ベンダー、協力会社などに付与されたアカウントが攻撃対象となるケースが増加しています。
多くの企業では、システムの構築・運用・保守を外部パートナーへ委託しており、それに伴いVPNやクラウドサービス、管理システムなどへのアクセス権限を付与しています。しかし、委託先ごとにセキュリティ対策レベルやアカウント管理ルールが異なるため、自社と同等の統制を維持することは容易ではありません。
そのため、自社環境だけでなく、取引先や委託先を含めたサプライチェーン全体のリスクを把握し、適切なアクセス管理を実施することが求められています。
ID・パスワード認証だけでは防げない理由
従来、多くのシステムではID・パスワードによる認証が利用されてきました。しかし、フィッシング攻撃やパスワードリスト攻撃、漏えいした認証情報の悪用などにより、正規利用者になりすました不正アクセスが発生しています。
また、多要素認証(MFA)を導入している場合でも、運用上の例外設定や未適用アカウントが存在すると、そこが攻撃者の侵入口となる可能性があります。
特に、業務委託先や協力会社のアカウント管理は見落とされやすく、自社では把握しきれないリスクが存在します。そのため、認証情報だけに依存しないアクセス制御の仕組みを導入することが重要です。
RiskSensor(リスクセンサー)によるサプライチェーンリスクの可視化
サプライチェーン全体のセキュリティ対策を進めるためには、自社だけでなく、取引先や業務委託先を含めたリスクを継続的に把握することが重要です。
リスクセンサーは、攻撃者の視点から企業のサイバーリスクを可視化するサービスです。外部から取得可能な情報をもとに、自社や取引先のセキュリティリスクを調査・分析し、優先度や具体的な対策をレポートとして提供します。リスクセンサーでは、主に以下の3つの領域からリスクを可視化します。
- ASM(Attack Surface Management)
インターネット上に公開されているサーバーやクラウド環境、設定不備、古いソフトウェアなどの外部公開資産を調査します。 - デジタルTPRM(Third Party Risk Management)
取引先や業務委託先など、サプライチェーンに関わる企業の公開資産を調査し、第三者に起因するリスクを把握します。 - ダークウェブ調査
認証情報や企業に関連する情報がダークウェブ上で流通していないかを継続的に確認します。
これらの調査結果を専門家が総合的に分析し、リスクの優先順位や具体的な推奨対策をレポートとして提供するため、自社だけでなくサプライチェーン全体のセキュリティ強化に役立ちます。
リスクセンサーについてはこちら
NRA-PKIクライアント証明書による認証強化
リスクを把握することと同様に重要なのが、システムへのアクセスを適切に制御することです。
NRA-PKIクライアント証明書は、電子証明書を利用して利用者や端末を認証するサービスです。ID・パスワードだけではなく、証明書を保有する端末のみアクセスを許可することで、不正アクセスリスクの低減に貢献します。
VPN接続や社内システム、クラウドサービスなどへのアクセス制御に活用できるため、自社従業員だけでなく、業務委託先や協力会社のアクセス管理強化にも有効です。
NRA-PKIクライアント証明書についてはこちら
まとめ
サプライチェーンを狙ったサイバー攻撃は、自社だけで対策を講じていても防ぎきれないケースがあります。
そのため、取引先や委託先を含めたリスクの可視化と、認証強化によるアクセス制御を組み合わせた対策が重要です。
リスクセンサーによるサプライチェーンリスクの把握と、NRA-PKIクライアント証明書による強固な認証基盤の構築により、企業全体のセキュリティレベル向上を支援します。
参考資料:電子認証局サービスBLOG(2026年1月8日)
https://www.cybertrust.co.jp/blog/certificate-authority/client-authentication/supply-chain-risk.html
