サプライチェーンセキュリティ さぷらいちぇーんせきゅりてぃ
サプライチェーンセキュリティとは
サプライチェーンセキュリティとは、製品やサービスを作るために必要なソフトウェア・ハードウェア・開発ツール・外部委託先などの「調達から納品までの一連の流れ(サプライチェーン)」全体を対象としたセキュリティ対策のことです。自社のシステムだけを守るのではなく、そこに関わるすべての部品・ベンダー・プロセスを信頼できる状態に保つことを目指します。
現代のITシステムは、オープンソースライブラリ・クラウドサービス・外部委託先の開発コード・ハードウェアチップなど、無数の外部要素で成り立っています。攻撃者はこの「信頼されているが検査されていない経路」を悪用します。自社のファイアウォールがどれだけ堅牢でも、信頼して取り込んだコンポーネント自体に罠が仕掛けられていれば防ぐことができません。
2020年に発覚したSolarWinds事件では、IT管理ソフトのアップデート自体にマルウェアが仕込まれ、米国政府機関を含む18,000以上の組織が影響を受けました。この事件が「サプライチェーン攻撃」という言葉を世界的に一般化させ、自社だけを守れば安全という常識を根本から覆した出来事として記憶されています。
サプライチェーンセキュリティの構造と脅威
サプライチェーンは「ソフトウェア」と「ハードウェア」の2軸で整理すると把握しやすくなります。
| 区分 | 構成要素の例 | 代表的なリスク |
|---|---|---|
| ソフトウェア | OSS(オープンソース)ライブラリ、開発ツール、CI/CDパイプライン | 悪意あるパッケージの混入・依存関係の脆弱性 |
| ソフトウェア | SaaS・クラウドサービス | ベンダー側の侵害・設定ミス |
| ソフトウェア | 外部委託コード・プラグイン | バックドアの埋め込み |
| ハードウェア | 半導体・チップ | 製造段階での改ざん |
| ハードウェア | ルーター・IoT機器 | ファームウェアの脆弱性 |
| 人・プロセス | 外部委託先の開発者 | 内部不正・アカウント乗っ取り |
攻撃の典型パターン
攻撃者
│
▼
① OSSパッケージリポジトリに悪意あるバージョンを公開
② 開発者が "npm install" などで自動取得
③ ビルドされたアプリに悪意あるコードが混入
④ 正規のアップデートとして利用者に配布
⑤ 利用者環境で攻撃が実行される ← 自社は完全に被害者覚え方:「仕入れた食材が腐っていたら、どんな名シェフでも料理は失敗する」
自社のセキュリティ対策=料理の腕前、調達するソフト・部品=食材。食材の安全を確認しないと、どれだけ腕が良くても食中毒が出てしまう。それがサプライチェーンリスクのイメージです。
歴史と背景
- 2013年 — Target社(米小売大手)がHVACベンダー経由で侵害される。「取引先経由の攻撃」が注目される
- 2017年 — NotPetyaランサムウェアがウクライナの税務ソフト「MEDoc」のアップデート機能を悪用して世界中に拡散。被害総額100億ドル超
- 2020年 — SolarWinds事件。IT管理製品「Orion」のアップデートにマルウェア「SUNBURST」が混入。米財務省・国務省など政府機関が被害を受け、ソフトウェアサプライチェーン攻撃の深刻さを世界が認識
- 2021年 — Log4Shell脆弱性(CVE-2021-44228)。Javaの超有名ライブラリ「Log4j」に致命的な欠陥が発覚。世界中のシステムに影響。依存関係の把握の重要性が再認識される
- 2021年 — 米バイデン大統領が大統領令14028を発令。連邦政府調達においてSBOM(後述)の提出を義務化
- 2022〜現在 — SBOM(Software Bill of Materials)が国際標準化・法制化の流れへ。日本でも経済産業省がガイドラインを整備
主要な対策・フレームワーク
サプライチェーンセキュリティの対策は「把握する→評価する→監視する→応答する」のサイクルで実施します。
SBOM(エスボム)とは
SBOM(Software Bill of Materials/ソフトウェア部品表) は、製品に含まれるすべてのソフトウェアコンポーネントを一覧化した「食品の原材料表示」のようなものです。
| 項目 | 内容例 |
|---|---|
| コンポーネント名 | log4j-core |
| バージョン | 2.14.1 |
| ライセンス | Apache-2.0 |
| 出所(ソース) | Maven Central |
| 既知の脆弱性 | CVE-2021-44228(Log4Shell) |
SBOMがあることで「自社製品のどこにLog4jが使われているか」を即座に把握でき、脆弱性が発覚したときの対応スピードが劇的に上がります。
主要フレームワーク・ガイドライン
| フレームワーク | 発行元 | 概要 |
|---|---|---|
| NIST SP 800-161 | 米国NIST | サプライチェーンリスク管理の包括ガイド |
| SLSA(スルサ) | Google主導 | ソフトウェアビルドの完全性を保証する段階的フレームワーク |
| in-toto | Linux Foundation | ソフトウェア製造過程を証明する仕様 |
| Sigstore | OpenSSF | ソフトウェアへのデジタル署名を容易にするツール群 |
| 経産省ガイドライン | 経済産業省 | 国内企業向けのSBOM導入手引き(2023年) |
発注側が今すぐすべきこと
「ITの発注担当者」として最低限押さえておくべきポイントをまとめます。
| チェックポイント | 具体的な確認内容 |
|---|---|
| 契約書にセキュリティ条項を入れる | 委託先の脆弱性対応義務・インシデント報告義務を明文化 |
| SBOMの提出を求める | 納品ソフトウェアの部品表を受け取る契約にする |
| 第三者審査の実施 | ISO 27001取得状況・ペネトレーションテスト結果の提示を要求 |
| 委託先の委託先を確認 | 「再委託先」も含めたセキュリティ管理状況を把握 |
| 更新・パッチ対応の責任を明確化 | 脆弱性発覚時の対応期限をSLAに盛り込む |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-161r1 | ICTサプライチェーンリスクマネジメントの実践ガイド |
| 大統領令14028(EO 14028) | 米国のソフトウェアサプライチェーン強化を義務付けた大統領令(2021年) |
| ISO/IEC 27036 | サプライヤー関係におけるISO情報セキュリティ管理規格 |
関連用語
- SBOM — ソフトウェアを構成する部品の一覧表。サプライチェーンセキュリティの基盤となる概念
- ゼロトラストセキュリティ — 「信頼しない・常に検証する」を原則とするセキュリティモデル。外部ベンダーにも適用される
- 脆弱性(CVE) — 共通脆弱性識別子。依存ライブラリのリスク把握に不可欠
- DevSecOps — 開発・運用・セキュリティを統合するアプローチ。SBOMはDevSecOpsの一部として管理される
- インシデントレスポンス — セキュリティ事故が発生した際の対応プロセス
- オープンソースソフトウェア(OSS) — サプライチェーンリスクの主要な発生源の一つ
- クラウドセキュリティ — SaaS・クラウドサービスを利用する際のセキュリティ管理
- ペネトレーションテスト — 擬似的な攻撃でシステムの弱点を発見するテスト手法