
工藤靖 Yasushi Kudo
パートナー
東京
NO&T Compliance Legal Update 危機管理・コンプライアンスニュースレター
近時、サイバー攻撃がビジネスのサプライチェーンに影響を及ぼす事案が、業種・業界を問わず報道されています。独立行政法人情報処理推進機構が2025年1月30日に公表した「情報セキュリティ10大脅威」では、「サプライチェーンや委託先を狙った攻撃」が組織向け脅威として2位に挙げられており、この10大脅威としての取扱いは7年連続7回目と紹介されています。
サプライチェーンにおけるサイバーセキュリティリスクは、DX化やIoT化の進展に伴うシステム連携の増加、及びサイバー攻撃の高度化・巧妙化により、企業や社会における安定供給、品質、安全確保に甚大な影響を及ぼす可能性のある重要な脅威として認識されています。本ニュースレターでは、このような脅威状況とそれに対する対応の近時の動向をテーマとして解説します。
そもそもサプライチェーンにおけるサイバーセキュリティリスクには、大きく二つの文脈があります。
一つ目は、自社が調達し、運用しているシステム・ソフトウェアに予め又はファームウェアのアップデート時などに、供給者側のセキュリティ上の脆弱性を利用して攻撃者が組み込んだマルウェア等により生じる事業リスクが挙げられます。海外の事例ですが、あるシステムにマルウェアによるバックドアが仕掛けられていた結果、このシステムが納入・利用されていた多数の政府機関が、このバックドアの実行により情報を奪われたといったケースがあります。
二つ目は、取引先等のシステム・セキュリティ上の脆弱性が攻撃者に悪用され、何らかのネットワークによってつながれた自社システム上のセキュリティに影響を及ぼすことや、サイバー攻撃に起因して発生した取引先等における事業停止等により生じるリスクが挙げられます。
例えば、近時の報道事例として記憶に新しい病院に対するランサムウェア攻撃の事例では、攻撃者が、まず入院患者の食事を納入する給食委託事業者のシステムへ、同システム構築事業者がリモート保守のために設置したVPN機器の脆弱性を利用して侵入し、次に窃取した病院のサーバ認証情報によりリモートデスクトップ通信を用いて、病院サーバに侵入し、同病院の電子カルテシステムに障害を生じさせました。その結果、被害に遭った病院は、緊急以外の手術や外来診療を停止せざるを得ないなど、通常診療が行えない状況に至っています。また、情報処理サービスとそれに伴う印刷・発送業務の受託等を主な業務とする株式会社に対するランサムウェア攻撃により、最終的に流出が確認された個人情報が約307万人分に上り、その影響は当該株式会社の顧客である金融機関、政府機関、地方自治体等を含む約100団体に及び、委託関係によるサプライチェーンへの大規模な被害が生じています。このケースでは、ランサムウェア攻撃を受けた被害者から一転して加害者にもなった会社は、ISO認証等を停止され、影響を受けた地方公共団体は当該株式会社に対し損害賠償請求を行う予定である旨を公表しています。
このようなサプライチェーンにおけるサイバーセキュリティリスクに対する近時の動向について、以下解説します。
外部から調達し、運用しているシステム・ソフトウェアにセキュリティ上の脆弱性があり、これを利用して攻撃者が組み込んだマルウェア等により生じる事業リスクへの対応については、調達/運用時においてSBOM(Software Bill of Materials)を入手し、その脆弱性について随時確認することが提唱されています。SBOMとは、ソフトウェアの部品構成表を意味し、ソフトウェアを構成する各部品(コンポーネント)を誰が作り、何が含まれ、どのような構成となっているか等を示すものです。ソフトウェアサプライチェーンが複雑化し、オープンソースソフトウェア(OSS)の利用が進む中で、ソフトウェアにおける脆弱性管理等の重要性から、SBOMを利用した管理手法が挙げられており、近時は、国内外でこのSBOMの取り扱いに関する規制が強化されています。
まず、日本政府による調達においてサイバーセキュリティの確保を図るために策定されている政府機関等の対策基準策定のためのガイドライン(令和7年度版)4.3.1(1)-4においては、ソフトウェア及びサイバーセキュリティリスクの高い機器等の調達における透明性の確認を必要とする場合、SBOMの作成、提供等を、調達時の評価項目とすることを機器等の選定基準として定めることとしています。
また、一般的に重要インフラとされる分野においても、監督官庁からのガイドラインにおいて、SBOMの作成、利用について言及されています。例えば、2024年10月4日に策定された金融分野におけるサイバーセキュリティに関するガイドラインにおいては、情報資産管理としてのハードウェア・ソフトウェア等の管理において「対応が望ましい事項」として、自社開発のソフトウェア、利用しているサービス(当該サービス事業者がSBOMを提供している場合)についてSBOMを整備することが挙げられています。同じく重要インフラの一つとされ、近時ランサムウェアによる不正アクセス被害に関し複数の調査報告が公表されている医療分野においても、医療機器が具備すべき品質や安全性等に関する基本的な要件基準が定められており※1、同基準12条3項は、プログラムを用いた医療機器のサイバーセキュリティ確保のための要件※2を規定しています。この要件の適合性に関しては、JIS T81001-5-1※3等の規格への適合性が求められています※4。そして、JIS T81001-5-1への適合性を確認するに際して、その箇条8のソフトウェア構成管理プロセスについての追加確認事項として、医療機器のSBOMを適切に作成することによって確認することが求められています※5。
そして、近年、IoT製品の脆弱性を狙ったサイバー攻撃の脅威が高まり、EUにおけるサイバーレジリエンス法など、海外においてもIoT製品のセキュリティ対策に関する適合制度の検討が進められていることを受け、日本においても共通的な物差しでIoT製品のセキュリティ機能を評価・可視化し、適切なセキュリティ対策を講じることを求める制度の構築・運用が進められています。このIoT製品に関するセキュリティ要件適合評価及びラベリング制度(JC-STAR)は、任意の制度として、経済産業省の主導のもと、独立行政法人情報処理推進機構(IPA)により運用開始に向けた取り組みが進められています。この制度の対象となる「IoT製品」は、供給者による販売又は利用者による購入の単位となるものであって、意図した目的を達成するための単独のIoT機器、又はIoT機器と必須付随サービスとで構成される一式とされており、考慮要素として、①ラベルの対象となる機器が含まれていること、②インターネットプロトコル(IP)を使用したデータの送受信機能を持つこと、③直接・間接を問わず、インターネットにつながる可能性を否定できないこと、④購入時に具備されているセキュリティ機能を利用し、調達者・利用者が自らの意志により事後的にセキュリティ機能を追加することができない又は困難であること、が挙げられています。そして、製品類型毎の特性に応じて、求められるセキュリティ要件、適合基準、評価手順や評価方式がレベル分けして設定されています。このレベル分けの中で、レベル☆3以上については、政府機関や重要インフラ事業者、大企業の重要なシステムでの利用を想定したIoT製品類型毎の汎用的な適合基準を定め、それを満たすことを独立した第三者が評価し認証するものとされており、このレベルにおいてはSBOMの活用により脆弱性情報を適切に共有し、迅速なパッチ適用を目指す方針が示されています(2024年8月経済産業省商務情報政策局サイバーセキュリティ課「IoT製品に対するセキュリティ適合性評価制度構築方針」4.5参照)。
このように、外部から調達し、運用しているシステム・ソフトウェアにセキュリティ上の脆弱性があり、これを利用して攻撃者が組み込んだマルウェア等により生じる事業リスクへの対応については、SBOMの作成・提供を通じて、システム・ソフトウェアに対する脆弱性を速やかに把握して、適切に対応することが求められつつあるものと考えられます。2025年3月13日付けで警察庁が公表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によれば、脆弱性を有するVPN機器がランサムウェア被害企業における感染経路の6割弱を占めており、こうした脆弱性への適時の対応としても有益なものと考えられます。
そして、このような対応を進めることは、昨今のランサムウェアによる不正アクセスといったサイバー攻撃が企業にとって「通常想定されるリスク」となっている状況においては、サイバーセキュリティリスクに関する法令等遵守体制・損失危険管理体制・情報保存管理体制の構築・運用を求める取締役の善管注意義務としての内部統制システムの整備義務(会社法362条4項6号・同5項)※6を適切に果たすことにもつながっていくものと考えられます。
以上、今回のニュースレターでは、サプライチェーンにおけるサイバーセキュリティリスク管理の近時の動向として、SBOMの作成・利用を通じたシステム・ソフトウェアにおける脆弱性への対応について解説しました。
次回以降のニュースレターでは、取引先等のシステム・セキュリティ上の脆弱性が攻撃者に悪用され、ネットワークによって繋がれた自社システム上で生じるセキュリティリスクやサイバー攻撃に起因して発生した取引先等における事業停止等により生じる自社の事業リスクへの対応について解説します。
※1
医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定により厚生労働大臣が定める医療機器の基準参照。
※2
①製品の全ライフサイクルにわたって医療機器サイバーセキュリティを確保する計画を備えること、②サイバーリスクを低減する設計及び製造を行うこと、③適切な動作環境に必要となるハードウェア、ネットワーク及びITセキュリティ対策の最低限の要件を設定することが要件とされています。
※3
ヘルスソフトウェア及びヘルスITシステムの安全,有効性及びセキュリティ―第5-1部:セキュリティ―製品ライフサイクルにおけるアクティビティ
※4
2023年3月31日付け薬生機審発0331第8号 厚生労働省医薬・生活衛生局医療機器審査管理課長による「医療機器の基本要件基準第12条第3項の適用について」参照。
※5
2023年5月23日付け薬生機審発0523第1号 厚生労働省医薬・生活衛生局医療機器審査管理課長による「医療機器の基本要件基準第12条第3項の適合性の確認について」参照。
※6
「重要インフラのサイバーセキュリティに係る行動計画」(2024年3月8日サイバーセキュリティ戦略本部改定)10-11頁参照。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
工藤靖
大澤大、佐藤光(共著)
(2025年7月)
福原あゆみ
深水大輔、杉江裕太(共著)
工藤靖
(2025年7月)
前川陽一
(2025年7月)
中翔平
(2025年7月)
大久保涼、髙橋優、武原宇宙、小原直人(共著)
工藤靖
東崎賢治、羽鳥貴広(共著)
(2025年3月)
工藤靖、今野由紀子、犬飼貴之(共著)
(2025年3月)
鈴木明美、松宮優貴(共著)
工藤靖
宮下優一、田澤拓海(共著)
宮下優一、薄実穂(共著)
(2025年3月)
堀内健司、遠藤努、水越恭平、アクセル・クールマン、柴崎勢治、永田基樹、麻薙裕美子、松岡亮伍、米田崇人、鈴木三四郎、長谷川雄一、森海渡(共著)
工藤靖
(2025年6月)
吉良宣哉
(2025年5月)
大下慶太郎
(2025年5月)
吉良宣哉
工藤靖
東崎賢治、外村亮(共著)
(2025年6月)
殿村桂司、小松諒(監修)、鳥巣正憲、滝沢由佳(共著)
東崎賢治、平山貴仁(共著)
工藤靖
東崎賢治、外村亮(共著)
(2025年6月)
殿村桂司、小松諒(監修)、鳥巣正憲、滝沢由佳(共著)
東崎賢治、平山貴仁(共著)
工藤靖
坂下大
(2025年7月)
三笘裕、大野開士(共著)
(2025年3月)
堀内健司、遠藤努、水越恭平、アクセル・クールマン、柴崎勢治、永田基樹、麻薙裕美子、松岡亮伍、米田崇人、鈴木三四郎、長谷川雄一、森海渡(共著)
工藤靖
坂下大
(2025年7月)
三笘裕、大野開士(共著)
(2025年6月)
松尾博憲