サプライチェーン攻撃とは何か。「うちは中小だから大丈夫」が通用しない理由と具体的な対策

セキュリティ2026.05.14

20260520

「大企業のセキュリティが強化されたから、今度は取引先の中小企業を狙う。」
これがサプライチェーン攻撃の本質です。IPA「情報セキュリティ10大脅威2026」で第2位にランクインしたこの脅威は、大企業だけの問題ではありません。むしろ中小企業こそ、自社が攻撃の「入口」にされるリスクに直面しています。

サプライチェーン攻撃とは

サプライチェーン攻撃とは、セキュリティ対策が手薄な取引先・委託先を踏み台として、最終的に大企業や重要インフラを攻撃する手法です。直接攻撃が難しい堅牢なシステムでも、その取引先の中小企業を経由することで侵入できるケースがあります。

国内でも複数の大規模事案が発生しています。大手自動車メーカーの部品サプライヤーへのサイバー攻撃で工場の生産が停止した事例、システム開発の委託先が不正アクセスを受け、委託元の大企業の顧客情報が流出した事例などが代表的です。

なぜ中小企業が標的になるのか

理由は明確です。「セキュリティが弱い」からです。大企業は多額のセキュリティ投資を行い、専門チームが24時間365日監視しています。一方で、その大企業と取引する中小企業は、IT担当者が1〜2名、あるいは兼務という状況が多く、セキュリティ対策が不十分なケースが多い。攻撃者は「最も弱いところ」を狙います。

取引先から「セキュリティ要件」を求められている

すでに多くの大企業が、取引先（サプライヤー・委託先）に対してセキュリティ基準の遵守を求めています。
自動車業界では自工会・部工会のガイドライン、製造業では親会社からのセキュリティ調査票、IT・サービス業では発注元からのコンプライアンス確認など、取引継続の条件としてセキュリティ対策の実施を求められるケースが増えています。
「対策できていません」と答えた場合、取引の見直しを求められるリスクがあります。

PC操作ログがサプライチェーンリスク対策に役立つ理由

サプライチェーン攻撃への対策として、PC操作ログ管理が有効なポイントが2つあります。
一つ目は「自社からの情報流出を防ぐ」観点です。外部攻撃者によってアカウントが乗っ取られた場合も、不審な操作パターン（大量ダウンロード・深夜の操作・普段アクセスしないファイルへのアクセスなど）をアラートで検知できます。
二つ目は「外部委託先の操作を記録する」観点です。自社システムにアクセスする外部委託先の作業を踏み台サーバー経由で記録することで、不正アクセスの証跡を保全できます。