Gftd Japan株式会社 / サイバーセキュリティ事業部 / 研究レポート

サプライチェーン攻撃のリスク評価とは? 自社の対策だけではカバーしきれないのはなぜ? サプライチェーン攻撃へのリスク評価を分かりやすく解説

作成者: 河崎純真|2025/10/03 2:42:08

サプライチェーン攻撃のリスク評価とは?
自社の対策だけではカバーしきれないのはなぜ?
サプライチェーン攻撃へのリスク評価を分かりやすく解説

安定したサプライチェーンを維持していくうえで、サプライチェーン攻撃に対するリスク評価を行うことが重要になります。本記事ではサプライチェーン攻撃に対するリスク評価について分かりやすく解説します。

目次

 

そもそも、サプライチェーン攻撃とは何か?

サプライチェーン攻撃とは、組織が利用する外部の製品・サービス・パートナー企業を経由して侵入や攻撃を仕掛ける手口のことです。自社が直接管理していない部分(開発委託先、ソフトウェア更新、ハードウェア製造工程など)を狙うため、防御が難しいのが特徴です。

 

サプライチェーン攻撃の流れ

攻撃者はまず、ターゲット企業そのものではなく、取引先や委託先を狙う

そこに不正なプログラムや改ざんを仕込み、最終的にターゲットへ侵入

ターゲット企業は「信頼できるはずのもの」を利用しているため、攻撃に気づきにくい

 

サプライチェーンの攻撃事例

ソフトウェア系への攻撃

  • 不正なアップデートを行い、ソフト更新プログラムにマルウェアを混入
  • OSSや外部ライブラリ改ざんし、依存するパッケージに悪意あるコードを挿入
  • ビルドプロセスに改ざんを仕掛け、CI/CD環境の侵害する

ハードウェア系への攻撃

  • 製造段階でチップや基板に不正回路を混入するなど、バックドアを埋め込む
  • 輸送中の改ざんや偽造部品の挿入
  • ファームウェアを改ざんし、不正なコードを導入させる

 

チェーンサプライ攻撃による被害例

 

  • 大規模な情報漏えい(顧客データ、知財)
  • インフラや重要システムの停止
  • 取引先全体へ連鎖的な影響(サプライチェーン全体に波及)
  • 事件事故による、ブランド・信用失墜

 

サプライチェーン攻撃に対するリスク評価とは?

サプライチェーン攻撃は何よりも「信頼して使っているはずのものが攻撃経路になる」ことが最大の脅威になるため、前もってリスク評価をしておくことが重要になります。

リスク評価の方向性としては、外部から調達する製品・サービスを通じてセキュリティが侵害される可能性を分析し、その影響度と発生可能性を見積もります。組織が直接管理できないサプライヤーや委託先を経由して攻撃が仕掛けられるため、従来のセキュリティ対策より広範で複雑な評価が必要になります。

 

サプライチェーン攻撃に対するリスク評価について、その具体的な手法

 

リスク評価の目的と方向性

 

  • ソフトウェア/ハードウェア調達に伴う潜在的な脅威の洗い出し
  • 攻撃成功時の事業継続への影響度の把握
  • 優先度をつけた対策計画の策定

 

ソフトウェアにおけるリスク評価

想定されるリスクの例

  • サードパーティ製ライブラリやOSSにマルウェアが混入
  • ソフトウェア更新(アップデート)経路の改ざん
  • CI/CDパイプラインや開発者アカウントの乗っ取り

評価観点

  • 依存関係(ライブラリ・モジュール)の透明性(SBOM管理)
  • 開発プロセスのセキュリティ(コード署名、アクセス管理)
  • ベンダーの脆弱性対応能力・公開姿勢

 

ハードウェアにおけるリスク評価

想定リスク

  • チップやファームウェアに不正な回路やバックドアの埋め込み
  • サプライヤー段階での改ざん・偽造品の混入
  • 保守・リペア時の不正部品交換

評価観点

  • サプライヤーの信頼性(調達元の国・企業・認証状況)
  • 製造・輸送・保管過程での改ざん耐性
  • ファームウェア更新のセキュリティ(署名・暗号化)

 

共通の評価プロセス

 

  1. 資産の特定:調達しているソフトウェア・ハードウェアのリスト化
  2. 脅威の特定:不正アップデート、改ざん、偽造、内部不正など
  3. 脆弱性の特定:依存関係の不透明さ、ベンダー管理体制の弱さ、輸送経路のセキュリティ
  4. 影響度評価:機密情報漏えい、サービス停止、法令違反、ブランド毀損
  5. 発生可能性評価:サプライヤーの信頼性、過去の事例、攻撃者の能力
  6. リスクレベル算出:影響度と生可性を考慮して優先順位付け
  7. 対策方針策定:サプライヤー監査、契約条項(セキュリティ要件)、多層防御、検知体制

 

リスクの回避、低減策の例

 

  • ソフトウェア:SBOM導入、コード署名の必須化、自動脆弱性スキャン
  • ハードウェア:信頼できる調達元からの購入、ハードウェア真正性検証(TPM・PUF利用)、輸送時の改ざん検知シール
  • 共通:サプライチェーン強化に向けたセキュリティ対策評価制度(経済産業省が策定した評価制度)、インシデント発生時の情報共有方法の策定

 

サプライチェーン攻撃は自社で直接管理できない領域が標的となるため、自社単独の対策だけではカバーしきれない部分が存在します。そのため、リスク評価を行う際には、どの製品やサービスが攻撃の経路となり得るかを把握し、各々の影響度や発生可能性を数値化して優先順位を設定し、効果的な対策を講じることが重要です。

 

経済産業省が策定した、サプライチェーン強化に向けたセキュリティ対策評価制度については、以下の記事をご参照ください。

「サプライチェーン強化に向けたセキュリティ対策評価(格付け)制度」とは? 経済産業省の最新ガイドラインを基にわかりやすく解説
https://cybersecurity.gftd.co.jp/ja/blog/supply-chain-evaluation-system-summary

 

弊社へのお問い合わせは、下記の著者画像横のメールアイコンから
完全な記事を表示