FFRI Security BLOG

【IPA 十大脅威組織編】サプライチェーン攻撃に対抗する評価基準制度とは【第 二位】

IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10 大脅威 2025 [組織]」によると、組織の脅威 第2位は昨年同様「サプライチェーンや委託先を狙った攻撃」 でした。

サプライチェーンや委託先を狙った攻撃

商品の企画、開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。このような「ビジネス上の繋がり」を悪用した攻撃は、自組織の対策のみでは防ぐことが難しいため、取引先や委託先も含めたセキュリティ対策が必要な脅威と言える。また、ソフトウェア開発のライフサイクルに関与するモノ(ライブラリ、各種ツール等)や人の繋がりをソフトウェアサプライチェーンと呼ぶ。このような「ソフトウェアの繋がり」を悪用した攻撃もまた脅威であり、対策が求められる。

引用:IPA 情報セキュリティ 10 大脅威(組織)より

ランサムウェア被害に遭ったときの対策と対応をIPA情報セキュリティ 10 大脅威(組織)より引用します。

攻撃手口は以下の通りとなります。

取引先や委託先が保有する機密情報を狙う ソフトウェア開発元や MSP(マネージドサービスプロバイダー)等を攻撃し、標的組織を攻撃するための足掛かりとする(ソフトウェアサプライチェーンの悪用)

本命となる標的組織よりもセキュリティが脆弱な取引先や委託先、国内外の子会社等を攻撃し、その組織が保有する標的組織の機密情報等を窃取、子会社等への侵入を足がかりに本命企業へと侵入します。

標的は中小企業!? サプライチェーン攻撃

ソフトウェアやサービスを改ざんしてマルウェアを仕込み、標的組織が購入したソフトウェアをインストールする際やサービスを利用する際にマルウェアに感染させようとします。

サプライチェーン上で埋め込まれるバックドア検査の必要性

サプライチェーンを悪用した攻撃は、子会社や取引先、委託先など商流のどこかが狙われ、侵入の糸口になってしまうため、意図せず攻撃者に加担してしまう可能性があるという点です。大手企業に比べてセキュリティが脆弱な中小企業や子会社などは、知らず知らずのうちに侵入経路となり、攻撃者にとっての”本命”企業への踏み台とされる可能性があります。こうしたサプライチェーン攻撃は近年多く報告されており、サイバー攻撃によってサプライチェーンを止めない、もし侵入されても迅速に対応し停滞時間を減らすための対策が求められます。

このようなサプライチェーンに起因する脅威を背景に、経済産業省では、「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました。この制度は、サプライチェーンのリスクを対象に、必要な対策を提示することで、リソースの限られる中小企業等でも適切な対策をとる助けとなることが期待されており、2026年度の制度開始を目指しています。

経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました

サプライチェーンを悪用した攻撃のうち特に脅威となる点は、最初に侵入された企業組織や委託された外部組織、またはソフトウェア提供元などが意図せず攻撃者に加担してしまう点にあります。知らず知らずのうちに踏み台とされ、取引先へのマルウェア攻撃の発信源になってしまう可能性もあります。踏み台とされた企業からしてみれば、自身も被害者ではあるものの、攻撃者に侵入を許した、または意図的でないにせよ攻撃者に加担したという事実が不信感を煽り、ビジネスに重大な影響を与えることもあります。
自組織だけでなく、取引先や関係企業を守るためにも、サプライチェーンを取り巻く組織全体で十分なセキュリティ体制を整えることが求められます。
既に経済産業省では、サイバーセキュリティ対策を可視化する制度を検討しており、取引先の選定やサプライチェーンの保護に役立てる方針です。

最後に「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」制度において設ける段階の考え方を掲載します。

⚫★3 Basic:全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的なシステム防御策と体制整備を中心に実施(自己評価(25項目))

⚫★4Standard:サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施(第三者評価(44項目)※) ※第三者評価を原則とするが、評価コストの負担を抑える観点から、詳細は今後検討予定。

⚫ ★5:サプライチェーン企業等が到達点として目指すべき対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施(第三者評価(対策項目は今後検討予定))

(注)上位の基準はそれ以下の基準で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係とはならない。

2025-09-01

関連記事 Related Post

FFRIセキュリティ SNS

FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。

FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。

  • FFRIセキュリティ特集

    FFRIセキュリティリソース

    お問い合わせ

    メールマガジン

    FFRIエンジニアブログ

  • 最近の記事

  • 特集

  • アーカイブ

    • HOME  ≫ FFRIセキュリティ BLOG  ≫ 2025年  ≫ 2025年9月  ≫ 【IPA 十大脅威組織編】サプライチェーン攻撃に対抗する評価基準制度とは【第 二位】

    pagetop