IoT機器は、電力インフラや自動車、工場設備など、いまや企業活動を支える“当たり前の存在”になりました。しかしその一方で、調達したデバイス自体が攻撃の起点となる「サプライチェーンリスク」が顕在化しています。
特に、悪意を持って埋め込まれたバックドアや仕様書には現れない未公開機能、あるいは開発者が意図せず埋め込んだ悪用可能な脆弱性は、従来の受入検査では見抜くことが困難であり、重要インフラや製造現場に深刻な影響を及ぼす可能性があります。
本記事では、IoT機器調達に潜むサプライチェーンリスクの最新動向を整理するとともに、組織としてどのように評価対象を選定し、どのような観点で検証すべきかといった実務的なアプローチを解説します。
近年、電力インフラや自動車、工場設備などの社会の重要な基盤におけるIoT化が急速に進展しています。これにより効率化やデータ活用が進む一方で、従来のIT領域とは異なる新たなセキュリティリスクが顕在化しています。
特に懸念されるのが、インフラに組み込まれたIoT機器そのものが抱える脆弱性やバックドアの存在です。
例えば、2025年11月、ノルウェーの公共交通機関Ruterは、海外から調達した電動バスにおけるリスクを明らかにするために実施したテストの結果を公表しました[i]。同社によると、このテストでは特定のメーカーのバスにおいて、理論上遠隔からバスを停止または使用不能にすることができたとされています。
また、2025年3月には、セキュリティ研究者らがあるメーカーの四足歩行ロボットを調査したレポートを公開しました[ii]。レポートによると、当該ロボットには顧客に未公開の機能が存在し、ネットワーク経由でロボットを遠隔操作することや、ビジョンカメラの映像を確認することが可能であったとされています。当該ロボットは一般消費者向けの製品でしたが、例えば工場に導入したロボットにこのような未公開機能が存在した場合、操業停止や営業秘密の漏洩といった重大なインシデントに繋がりかねません。
現代のIoT機器は世界中の異なる国や企業の部品とソフトウェアを組み合わせて構成されています。OEM(他社ブランドでの設計・製造)も一般的になり、最終製品を販売するメーカーですら内部のチップや詳細な制御仕様を把握できていないケースもあります。この不透明性が、攻撃者にとって製造段階での悪意ある混入(サプライチェーン攻撃)を容易にしています。
こうした背景に加え地政学的なリスクの高まりを受けて、特に社会的影響の大きいインフラ領域を中心に、バックドアを含むサプライチェーン上のリスクに対処しようとする動きが世界各国で進んでいます。日本国内においても、経済安全保障推進法が施行され、サプライチェーンリスクの把握・低減を図る仕組みが整備されています。
特定社会基盤事業者(基幹インフラの運営者)は、重要設備の導入に当たり、事前にサプライヤーの情報や当該設備のリスク管理状況等を届け出て、政府の審査を受ける必要があります [iii]。
一般に機器を調達する際に受入検査が実施されますが、IoT機器に悪意を持って設置されたバックドアや、過失による悪用可能な脆弱性の残存を従来の検査で見抜くことは困難です。
バックドアは仕様書にない隠し機能であるため、機能が仕様通り動くかを確認する観点で検査を行ったとしても検知できません。さらに、時限的に発動する悪性機能が存在することも考えられ、そのようなケースではデバイスに組み込まれたファームウェアを解析しない限り検出が困難です。
IoT機器の脆弱性やバックドアを含む脅威に対応するためには、表層的な検査では難しく、高度なセキュリティ評価が不可欠となります。
組織として実際にIoT機器のサプライチェーンリスクに対処し、実効性のある評価を実施するために、以下3つのポイントを考慮することを推奨します。
全ての調達機器において、詳細な解析を行うことは期間や費用の面から現実的ではありません。IoT機器の特性や設置環境等を踏まえ、組織に与えるリスク評価を行ったうえで評価対象とするかの判断が推奨されます。
NIST(米国国立標準技術研究所)が発行するサプライチェーンリスク管理に関するガイダンス文書であるSP 800-161[iv]においても、「サプライチェーンリスクマネジメント(SCRM)を組織全体に統合する(経営層から現場まで一貫した基準でリスクを判断する)」という考え方が示されています。
リスク評価の考え方としては、当該製品が悪用された場合の想定される被害の大きさの観点と、悪用される確率の観点(機器がインターネットに接続されるか、攻撃者が物理的にアクセス可能な位置に設置されるか、機器がセキュリティに関する第三者認証を取得しているか等)の2軸で評価を行うといったことが考えられます。
調達するIoT機器についてリスクが高いと判断し、受け入れ側で技術的な検証を行おうとする場合に、法的制約が障壁となるケースがあります。例として、多くの製品の使用許諾契約ではリバースエンジニアリングが禁止されています。
調達段階において、リバースエンジニアリングを含むセキュリティ検証を実施する権利を契約に盛り込む等、メーカー側との合意を得ることが推奨されます。
IoT機器のセキュリティ評価を行う際には、ハードウェア、ソフトウェア、通信の3つの観点で包括的に検証することを推奨します。
ハードウェアの評価においては、基板上に残されたデバッグインターフェースが無いか、仕様に無い攻撃の入り口となる不審なモジュール(外部通信モジュール等)が搭載されていないかなどを確認します。
ソフトウェアの評価においては、意図的なバックドア、あるいはバックドアとして悪用されうる未公開機能や脆弱性が無いかを確認します。具体的には専用のリバースエンジニアリングツールを使用して、ファームウェアのバイナリを疑似ソースコードに復元してロジックを精査します。
通信の評価においては、実際に評価対象の機器を動作させたうえでどのような通信が発生するかをパケットキャプチャによって確認するほか、機器にデータを送信した際の挙動から不審な振る舞いの検知を試みます。バックドアは難読化などの技術によってソフトウェアの解析が難しくなるように隠蔽されることがありますが、不要な通信の発生などの振る舞いそのものを隠すことは困難であるため、効果のある検証手法と言えます。
3つの検証アプローチはそれぞれが異なる目的があり、互いに補完しあう関係となっています。包括的に検証することで、脆弱性や未公開機能、または悪意を持って埋め込まれたバックドアを見逃す可能性を低減することができます。組織内でこのような高度な検証を行うことが難しい場合には、外部のセキュリティベンダーに評価を委託することが有効です。
社会基盤のIoT化が進展する中、調達するIoT機器の信頼性やセキュリティをどのように担保し、説明するかは、調達段階から向き合うべき重要な課題となっています。
本稿で述べたように、リスクベースアプローチによる評価対象の選定、調達契約における検証する権利の確保、そしてハードウェア・ソフトウェア・通信の三面からの評価を組み合わせることで、限られたリソースの中でも実効性のある脆弱性・バックドア評価を行うことが可能となります。
これらの取り組みを調達プロセスに組み込むことは、サプライチェーン全体の信頼性を確保するための前提であり、IoT機器を社会基盤に組み込む組織にとって果たすべき説明責任の一部と言えるでしょう。
[i] Ruter. “We have conducted a comprehensive safety test of electric buses”.
https://ruter.no/en/ruter-with-extensive-security-testing-of-electric-buses, (参照 2026-02-02)
[ii] Andreas Makris and Kevin Finisterre. “Unitree Go1 Who is speaking to my dog?”. https://think-awesome.com/download_unitree_report, (参照 2026-02-02)
[iii] 内閣府. “経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について”.
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/infra/doc/infra_gaiyou.pdf, (参照 2026-02-02)
[iv] J.Boyens, et al. “Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations”. NIST SP 800-161 Rev. 1. 2022.
https://csrc.nist.gov/pubs/sp/800/161/r1/upd1/final, (参照 2026-02-02)