サプライチェーンにおけるサイバーセキュリティリスク対応の近時の動向（1）

1 サプライチェーンにおけるサイバーセキュリティリスクのリスクシナリオについて

　そもそもサプライチェーンにおけるサイバーセキュリティリスクには、大きく二つの文脈があります。

　一つ目は、自社が調達し、運用しているシステム・ソフトウェアに予め又はファームウェアのアップデート時などに、供給者側のセキュリティ上の脆弱性を利用して攻撃者が組み込んだマルウェア等により生じる事業リスクが挙げられます。海外の事例ですが、あるシステムにマルウェアによるバックドアが仕掛けられていた結果、このシステムが納入・利用されていた多数の政府機関が、このバックドアの実行により情報を奪われたといったケースがあります。

　二つ目は、取引先等のシステム・セキュリティ上の脆弱性が攻撃者に悪用され、何らかのネットワークによってつながれた自社システム上のセキュリティに影響を及ぼすことや、サイバー攻撃に起因して発生した取引先等における事業停止等により生じるリスクが挙げられます。

　例えば、近時の報道事例として記憶に新しい病院に対するランサムウェア攻撃の事例では、攻撃者が、まず入院患者の食事を納入する給食委託事業者のシステムへ、同システム構築事業者がリモート保守のために設置したVPN機器の脆弱性を利用して侵入し、次に窃取した病院のサーバ認証情報によりリモートデスクトップ通信を用いて、病院サーバに侵入し、同病院の電子カルテシステムに障害を生じさせました。その結果、被害に遭った病院は、緊急以外の手術や外来診療を停止せざるを得ないなど、通常診療が行えない状況に至っています。また、情報処理サービスとそれに伴う印刷・発送業務の受託等を主な業務とする株式会社に対するランサムウェア攻撃により、最終的に流出が確認された個人情報が約307万人分に上り、その影響は当該株式会社の顧客である金融機関、政府機関、地方自治体等を含む約100団体に及び、委託関係によるサプライチェーンへの大規模な被害が生じています。このケースでは、ランサムウェア攻撃を受けた被害者から一転して加害者にもなった会社は、ISO認証等を停止され、影響を受けた地方公共団体は当該株式会社に対し損害賠償請求を行う予定である旨を公表しています。

　このようなサプライチェーンにおけるサイバーセキュリティリスクに対する近時の動向について、以下解説します。

2 SBOM（Software Bill of Materials）の活用に関する議論動向について

　外部から調達し、運用しているシステム・ソフトウェアにセキュリティ上の脆弱性があり、これを利用して攻撃者が組み込んだマルウェア等により生じる事業リスクへの対応については、調達/運用時においてSBOM（Software Bill of Materials）を入手し、その脆弱性について随時確認することが提唱されています。SBOMとは、ソフトウェアの部品構成表を意味し、ソフトウェアを構成する各部品（コンポーネント）を誰が作り、何が含まれ、どのような構成となっているか等を示すものです。ソフトウェアサプライチェーンが複雑化し、オープンソースソフトウェア（OSS）の利用が進む中で、ソフトウェアにおける脆弱性管理等の重要性から、SBOMを利用した管理手法が挙げられており、近時は、国内外でこのSBOMの取り扱いに関する規制が強化されています。

1. 関連するガイドライン等の策定状況

(1) 政府調達におけるSBOMの取扱いについて

　まず、日本政府による調達においてサイバーセキュリティの確保を図るために策定されている政府機関等の対策基準策定のためのガイドライン（令和7年度版）4.3.1(1)-4においては、ソフトウェア及びサイバーセキュリティリスクの高い機器等の調達における透明性の確認を必要とする場合、SBOMの作成、提供等を、調達時の評価項目とすることを機器等の選定基準として定めることとしています。

(2) 重要インフラにおけるSBOMの取扱いについて

　また、一般的に重要インフラとされる分野においても、監督官庁からのガイドラインにおいて、SBOMの作成、利用について言及されています。例えば、2024年10月4日に策定された金融分野におけるサイバーセキュリティに関するガイドラインにおいては、情報資産管理としてのハードウェア・ソフトウェア等の管理において「対応が望ましい事項」として、自社開発のソフトウェア、利用しているサービス（当該サービス事業者がSBOMを提供している場合）についてSBOMを整備することが挙げられています。同じく重要インフラの一つとされ、近時ランサムウェアによる不正アクセス被害に関し複数の調査報告が公表されている医療分野においても、医療機器が具備すべき品質や安全性等に関する基本的な要件基準が定められており※1、同基準12条3項は、プログラムを用いた医療機器のサイバーセキュリティ確保のための要件※2を規定しています。この要件の適合性に関しては、JIS T81001-5-1※3等の規格への適合性が求められています※4。そして、JIS T81001-5-1への適合性を確認するに際して、その箇条8のソフトウェア構成管理プロセスについての追加確認事項として、医療機器のSBOMを適切に作成することによって確認することが求められています※5。

(3) IoT製品のセキュリティ機能の評価・可視化とSBOMの取扱いについて

　そして、近年、IoT製品の脆弱性を狙ったサイバー攻撃の脅威が高まり、EUにおけるサイバーレジリエンス法など、海外においてもIoT製品のセキュリティ対策に関する適合制度の検討が進められていることを受け、日本においても共通的な物差しでIoT製品のセキュリティ機能を評価・可視化し、適切なセキュリティ対策を講じることを求める制度の構築・運用が進められています。このIoT製品に関するセキュリティ要件適合評価及びラベリング制度（JC-STAR）は、任意の制度として、経済産業省の主導のもと、独立行政法人情報処理推進機構（IPA）により運用開始に向けた取り組みが進められています。この制度の対象となる「IoT製品」は、供給者による販売又は利用者による購入の単位となるものであって、意図した目的を達成するための単独のIoT機器、又はIoT機器と必須付随サービスとで構成される一式とされており、考慮要素として、①ラベルの対象となる機器が含まれていること、②インターネットプロトコル（IP）を使用したデータの送受信機能を持つこと、③直接・間接を問わず、インターネットにつながる可能性を否定できないこと、④購入時に具備されているセキュリティ機能を利用し、調達者・利用者が自らの意志により事後的にセキュリティ機能を追加することができない又は困難であること、が挙げられています。そして、製品類型毎の特性に応じて、求められるセキュリティ要件、適合基準、評価手順や評価方式がレベル分けして設定されています。このレベル分けの中で、レベル☆3以上については、政府機関や重要インフラ事業者、大企業の重要なシステムでの利用を想定したIoT製品類型毎の汎用的な適合基準を定め、それを満たすことを独立した第三者が評価し認証するものとされており、このレベルにおいてはSBOMの活用により脆弱性情報を適切に共有し、迅速なパッチ適用を目指す方針が示されています（2024年8月経済産業省商務情報政策局サイバーセキュリティ課「IoT製品に対するセキュリティ適合性評価制度構築方針」4.5参照）。

2．SBOMの活用による効果

　このように、外部から調達し、運用しているシステム・ソフトウェアにセキュリティ上の脆弱性があり、これを利用して攻撃者が組み込んだマルウェア等により生じる事業リスクへの対応については、SBOMの作成・提供を通じて、システム・ソフトウェアに対する脆弱性を速やかに把握して、適切に対応することが求められつつあるものと考えられます。2025年3月13日付けで警察庁が公表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によれば、脆弱性を有するVPN機器がランサムウェア被害企業における感染経路の6割弱を占めており、こうした脆弱性への適時の対応としても有益なものと考えられます。

　そして、このような対応を進めることは、昨今のランサムウェアによる不正アクセスといったサイバー攻撃が企業にとって「通常想定されるリスク」となっている状況においては、サイバーセキュリティリスクに関する法令等遵守体制・損失危険管理体制・情報保存管理体制の構築・運用を求める取締役の善管注意義務としての内部統制システムの整備義務（会社法362条4項6号・同5項）※6を適切に果たすことにもつながっていくものと考えられます。

3 最後に

　以上、今回のニュースレターでは、サプライチェーンにおけるサイバーセキュリティリスク管理の近時の動向として、SBOMの作成・利用を通じたシステム・ソフトウェアにおける脆弱性への対応について解説しました。

　次回以降のニュースレターでは、取引先等のシステム・セキュリティ上の脆弱性が攻撃者に悪用され、ネットワークによって繋がれた自社システム上で生じるセキュリティリスクやサイバー攻撃に起因して発生した取引先等における事業停止等により生じる自社の事業リスクへの対応について解説します。