サプライチェーンリスクとは何ですか？

ソフトウェアやハードウェアの供給網（サプライチェーン）を経由して侵入するセキュリティリスクのこと。自社が直接攻撃されなくても、取引先やOSSライブラリ経由で被害を受ける可能性がある。

サプライチェーンリスクのポイントは？

自社のセキュリティが万全でも、取引先や外部ライブラリの脆弱性から攻撃が侵入する。ソフトウェアの依存関係（npm、PyPIなど）に悪意あるコードが混入するケースが増加中。SBOMで使用コンポーネントを可視化し、リスクを管理する手法が注目されている。SolarWinds事件やLog4Shell問題が代表的なサプライチェーン攻撃の事例

【さぷらいちぇーんりすく】

サプライチェーンリスクとは？

💡 信頼の鎖の弱い輪を狙われる

📌 このページのポイント

自社のセキュリティが万全でも、取引先や外部ライブラリの脆弱性から攻撃が侵入する
ソフトウェアの依存関係（npm、PyPIなど）に悪意あるコードが混入するケースが増加中
SBOMで使用コンポーネントを可視化し、リスクを管理する手法が注目されている
SolarWinds事件やLog4Shell問題が代表的なサプライチェーン攻撃の事例

サプライチェーンリスクのイメージ

ひよこ

サプライチェーンリスクって、物流の話？

ペンギン先生

物流のサプライチェーンと同じ考え方だよ。製品が届くまでの供給網のどこかに弱い部分があると、そこから攻撃されちゃうんだ。ITだとソフトウェアのライブラリや外注先が狙われるね

ひよこ

自分の会社がちゃんとしてても危ないの？

ペンギン先生

そうなんだ。たとえばnpmパッケージに悪意あるコードを仕込まれたら、それをインストールした全員が被害を受ける。2020年のSolarWinds事件では、正規のアップデートにマルウェアが仕込まれて1万8千以上の組織に影響が出たよ

ひよこ

こわい…どうやって防ぐの？

ペンギン先生

SBOMっていう「ソフトウェア部品表」で使ってるライブラリを全部把握するのが基本だね。あとは取引先のセキュリティ体制を評価したり、依存パッケージの署名を検証したりする方法があるよ

ひよこ

ライブラリのバージョンアップも気をつけたほうがいい？

ペンギン先生

まさにそこがポイント。依存関係の自動更新ツール（DependabotやRenovate）を使いつつ、変更内容をちゃんとレビューするのが大事だよ。信頼の鎖は一番弱いところから切れるからね

まとめ：ざっくりこれだけ覚えればOK！

サプライチェーンリスクって出てきたら「自分の会社じゃなくて取引先やライブラリ経由で攻撃される危険」と思えればだいたいOK！

📖 おまけ：英語の意味

「Supply Chain Risk」＝供給網リスク

💬 supply chainは元々モノの流通経路のことだけど、ITではソフトウェアの依存関係や外部委託先も含めた広い意味で使われるよ

← 用語集にもどる

サプライチェーンリスク とは？

サプライチェーンリスクとは？