サプライチェーン攻撃とは、ターゲット企業に直接サイバー攻撃を行うのではなく、セキュリティ対策に弱点がある関連企業や取引先・委託先企業に攻撃を仕掛け、この企業を踏み台としてターゲット企業に不正侵入を行うサイバー攻撃です。
サプライチェーン(供給網)は複数の企業が関わるため、セキュリティ対策のレベルは企業ごとに異なります。自社のセキュリティ対策を十分に実施していても、踏み台となった企業を経由し、さまざまな被害を受ける可能性があるのが、サプライチェーン攻撃の恐ろしい点です。
図:サプライチェーンの環のイメージ
DXの進展やクラウド利用の普及により、ビジネス環境は広がっているため、企業はセキュリティ対策の守備範囲をサプライチェーンに広げる必要があります。
企業がサプライチェーン攻撃から自社を守るためには、自社の安全性だけでなく、他組織の安全性を評価・検証するなど、サプライチェーン全体から考えることが重要です。
サプライチェーン攻撃を大別すると、ソフトウェア製品を通じて不正コードを実行する「ソフトウェアサプライチェーン攻撃」、サービスやAPIを介して攻撃する「デジタルサプライチェーン攻撃」、企業の子会社や海外拠点を介した「グループサプライチェーン攻撃」の3種類に分類できます。
