【情シス必見】サプライチェーン攻撃に備えるセキュリティ対策と IT-BCP の作り方｜アンチウイルス/EDR導入まで一気通貫で解説

2026/02/17 セキュリティ対策

公開日 2026年2月17日｜最終更新日 2026年2月17日

サイバー攻撃は年々巧妙化し、被害は「一部の大企業の話」ではなくなりました。特に近年、情シスが強く意識すべきなのがサプライチェーン攻撃です。攻撃者はセキュリティが堅い企業を正面から狙うより、取引先・委託先・利用サービス・ソフトウェア更新経路など、周辺の弱点を突いて侵入する方が成功確率が高いからです。

一方で、どれだけ対策してもインシデント発生をゼロにはできません。だからこそ情シスには、

侵入を防ぐ（予防）
侵入を検知して封じ込める（検知・初動）
止めない／止まっても早期復旧する（IT-BCP）

をセットで設計・運用し、経営・現場・外部委託先を巻き込みながら回す力が求められます。

サプライチェーン攻撃とは？情シスが押さえるべき“攻撃面”の変化

狙われるのは「自社の外側にある弱点」

サプライチェーン攻撃とは、攻撃者がターゲット企業へ直接侵入するのではなく、取引先・委託先・ベンダー・サービス提供者などを踏み台にして侵入し、最終的に自社や顧客へ被害を及ぼす攻撃です。

情シス視点で重要なのは、これが「セキュリティ製品を導入して終わり」ではない点です。サプライチェーン攻撃は、調達・契約・運用・業務フロー・人の習慣（メールやパスワード）まで含めた“面”で成立します。

サプライチェーン攻撃の主なパターン

(1) ソフトウェア/製品経由（更新・配布経路が狙われる）

製品やソフトウェアそのものにマルウェアが混入
正規アップデートや配布ファイルが改ざんされ、ユーザーが「正規の手順」で感染する
署名・配布基盤・CI/CD・開発環境が侵害されると被害が広がりやすい

(2) サービス事業者経由（MSP/SaaS/運用委託先が狙われる）

監視運用、クラウド管理、リモート管理ツール、業務SaaSなどの事業者が侵害
その権限・接続性を使って顧客側に侵入
一度の侵害で多数社に波及し得る（横展開が起きやすい）

被害は「被害者」だけでなく「加害者」にもなり得る

サプライチェーン攻撃の厄介さは、自社が侵害されるだけでなく、侵害された自社が踏み台として使われると、取引先・顧客にも被害を広げてしまう点です。結果として、取引停止、損害賠償、ブランド毀損、監督官庁対応など、技術だけでは終わらない経営リスクに直結します。

サプライチェーン攻撃の基本対策チェックリスト

サプライチェーン攻撃の対策は高度な話に見えますが、侵入口の多くは「基本の徹底不足」から生まれます。ここでは、記事Bの内容を軸に、情シスが社内標準として押さえたい基本対策を、実務で回せる形に整理します。

安全なパスワード管理（最小コストで効果が出る）

長くランダムな文字列を使う
使い回さない（特に外部サービス管理者アカウント）
定期／不定期の変更ルールを運用に合わせて設計する
可能ならMFA（多要素認証）を標準化し、漏えい時の被害を抑える

サプライチェーンでは、委託先の管理画面、ファイル共有、SaaS、請求関連システムなど「業務の都合で外に開いている入口」が狙われがちです。パスワードは地味ですが、最も費用対効果が高い対策の一つです。

可能な限り安全なネットワークを利用する（社外接続のリスクを下げる）

社外からの作業時に公衆無線LANを安易に使わない
使う場合も、VPN等の通信保護と端末のセキュリティ状態（パッチ・EDR稼働）を前提にする
“どこからでもアクセスできる便利さ”を、アクセス制御・ログ・認証で補う

メール対策（入口の代表格）：知っている相手でも油断しない

知らない相手からのメールは開封しない
知っている相手でも、不用意にURLをクリックしない／添付を開かない
取引先を装う「なりすまし」はサプライチェーンで頻出
典型例：請求書、見積、納品書、共有リンク、パスワード付きZIPなど

メールは“ユーザーの判断”に依存しがちなため、教育・訓練（標的型メール訓練）と、技術対策（URLフィルタ、添付検査、サンドボックス等）をセットで考えると事故率が下がります。

OS/アプリケーションを常に最新に保つ

OS・ブラウザ・Office・VPNクライアント・リモート接続系ツールなどを優先して最新化
「いつ・誰が・どう検証して・いつ本番適用するか」をルール化
例外（古い業務アプリ等）があるなら、ネットワーク分離や権限最小化で補う

セキュリティソリューションを導入する（入口・端末・検知の三位一体）

サプライチェーン攻撃は、侵入口がメール、Web、更新経路、委託先アカウントなど多岐にわたります。従って「ファイアウォールだけ」「アンチウイルスだけ」では穴が残ります。少なくとも、端末側での検知・隔離まで含めた設計が必要です（後述）。

請求書・支払いの業務フローを見直す

請求書の差し替え、振込口座変更、支払先変更などを想定し、複数回チェックできる体制を作る
“メールだけで口座変更を受け付けない”など、業務ルールを明文化する
情シスが「不正送金＝セキュリティインシデント」として関与できるよう整理する

教育でカバーできる領域は多い

これらの対策には金銭的・人的コストがかかります。しかし、パスワード、接続先、メール対応、アップデートなどは従業員へのセキュリティ教育で底上げできる部分も大きく、企業規模を問わず必須知識です。

予算が壁になる情シスへ：助成金・補助金、コンソーシアム、サイバー保険という選択肢

セキュリティソリューションは予算の影響が大きい領域です。必要性が分かっていても「今年は厳しい」で先送りされ、結果として重大インシデントで何倍もの損失を被るケースは珍しくありません。

助成金・補助金の可能性を調べる

国や自治体が、セキュリティ対策に関する助成金や補助金を用意していることがあります。条件は時期・地域・制度で変わるため、情シス単独ではなく、総務・経理・経営企画と連携して情報収集すると進めやすくなります。

SC3（サプライチェーン・サイバーセキュリティ・コンソーシアム）などの活用

経済産業省は中小企業を含むサプライチェーン全体での対策促進のため、「サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）」を立ち上げています。中小企業向けのワーキンググループもあり、悩み・課題・解決策・プラクティスの共有が進んでいます。

「何から手を付けるべきか」「他社はどうしているか」が見えないと対策は進みません。外部の知見を取りに行くこと自体が、サプライチェーン対策の一部です。

サイバー保険（最後の安全網）

最近は、サイバー攻撃の金銭的被害を補償する「サイバー保険」も選択肢です。保険は“予防”の代わりにはなりませんが、インシデント時の調査・復旧・賠償・広報対応などの費用が問題になる企業では、リスクファイナンスとして検討余地があります。

IT-BCP（サイバーBCP）とは？

サプライチェーン攻撃を含め、災害やサイバー攻撃が起きたとき、事業を止めない・早く復旧させるには、平時の準備がすべてです。その方法や対策を平時から備えておくことをIT-BCP（サイバーBCP）と呼びます。

BCPとIT-BCPの関係

BCP（事業継続計画）は、災害・火災など緊急事態において事業資産の損害を最小化し、事業継続と早期復旧を実現するための計画です。
IT-BCPはその一部として、災害時等にITシステムをできるだけ止めないこと、損傷があればできるだけ早く復旧すること、さらに**サイバー攻撃など“システム特有の被害”**も対象にして計画する取り組みです。

自然災害が多いことに加え、感染症流行などによる人員不足も現実に起きました。「起こり得る」ではなく「起こる前提」で設計しておく必要があります。

IT-BCPの策定・運用フロー

内閣官房内閣サイバーセキュリティセンター（NISC）のガイドラインを参考にした、IT-BCPの代表的フローは以下のとおりです。政府機関向けの考え方ですが、一般企業でも十分応用できます。

基本方針の策定
策定・運用体制の構築
危機的事象の特定
被害想定
情報システムの復旧優先度の設定
情報システム運用継続に必要な構成要素の整理
事前対策の計画とその実施
危機的事象発生時の対応計画の検討
教育訓練・維持改善の計画とその実施

ここから、情シスがつまずきやすいポイントを中心に解説します。

IT-BCPの作り方（情シスが実務に落とすポイント）

基本方針の策定：範囲を「連絡手段」まで含める

IT-BCPの対象は、基幹システム、ネットワーク機器、業務ソフト、認証基盤だけではありません。非常時に最初に困るのは、実は連絡手段です。メール、チャット、グループウェア、電話、緊急連絡網、代替連絡手段（SMS、社外メーリングリスト等）も範囲に含め、使えなくなった場合の代替を決めておきます。

策定・運用体制の構築：情シスだけで完結させない

運用体制では、責任者と担当者（意思決定、復旧作業、対外連絡、ベンダー窓口等）を明確にします。システム担当部門が中心になりがちですが、業務影響の判断には各部門が必要です。

誰が「止める」判断をするか（感染拡大防止でネットワーク遮断等）
誰が「復旧優先度」を承認するか
取引先への連絡・顧客対応を誰が担うか

このあたりが曖昧だと、インシデント時に判断が遅れ、被害が拡大します。

危機的事象の特定：自然災害だけでなくサイバー攻撃・人員不足も

可用性に影響が出る事象を列挙します。自然災害、停電、火災、サイバー攻撃、ハード故障、ソフト障害はもちろん、感染症や退職・欠員によるシステム担当者不足も現実的リスクです。

被害想定：軽微に見積もらない

重大インシデントが起こる前提で想定します。軽く見積もると「想定外」で計画が破綻します。特にランサムウェアでは、復旧だけでなく、調査・封じ込め・再発防止・外部報告など“周辺作業”が膨らみます。

情報システムの復旧優先度の設定：時間軸で分類する

インシデント発生時に、例えば以下のように分類し、優先順位を定めます。

3時間以内に復旧が必要なシステム
1日以内
3日以内
1週間以内
2週間以内
2週間超の停止が許容できるシステム

全システム同時停止はレアケースでも、最悪を想定して「どこから復旧作業をするか」を決めておくことが目的です。ここは、情シスが単独で決めるのではなく、業務部門と合意を取りながら行うべき工程です。

運用継続に必要な構成要素の整理：「ヒト・電源・空調」まで洗い出す

システム運用の構成要素には、サーバやネットワーク機器、クラウド契約、アカウント情報だけでなく、ヒューマンリソースも含まれます。担当者が確保できない状態なら復旧は進みません。

また、電源や発電機、UPS、サーバ冷却の空調など「動かす前提条件」も対象にします。サプライチェーン攻撃という“サイバー”の話をしていても、最終的に復旧を妨げるのは物理要因ということもあります。

事前対策の計画と実施：リスク評価→ギャップを埋める

構成要素ごとに、現状対策とリスク評価を行い、評価に基づいて事前対策計画を作ります。以下は多くの企業で弱点になりやすい項目です。

有事の人員体制（誰が来れない前提でも回るか）
連絡体制（誰が誰に、どの手段で、何を連絡するか）

アンチウイルスはまだ必要？情シスが押さえる「導入の考え方」と製品進化

「アンチウイルスは入れているから大丈夫」と言い切るのは危険ですが、「アンチウイルスはもう古い」と切り捨てるのも現実的ではありません。サプライチェーン攻撃を含む現在の脅威環境では、アンチウイルスは端末の最後の砦であると同時に、検知と初動（隔離・可視化）を担う中核になっています。

サイバー攻撃被害は増加傾向（IPAの届出データ）

IPAセキュリティセンター「コンピュータウイルス・不正アクセスの届出状況」（2025年2月26日）よる公表では、

2022年：560件（実被害188件）
2023年：249件（実被害30件）
2024年：260件（実被害15件）

注意点として、これは「所定の方法でIPAに届けが出されたもののみ」で、被害の実数を表すものではありません。それでも、検知・インシデントが増えていることを象徴しているのは確かです。

進化するアンチウイルス：定義ファイルだけの時代ではない

アンチウイルスは1980年代から存在し、当時はワクチンソフトとも呼ばれていました。役割は「侵入させない」「侵入したら検知・駆除」ですが、現在は以下のように守備範囲が拡張しています。

ビッグデータ×リアルタイム分析
ふるまい検知（怪しい動作の監視・記録、瞬間ブロック）
Webフィルタリング
ID保護
EDRによる調査・可視化・隔離（侵入後の追跡）

サプライチェーン攻撃は「正規プロセスに見える侵入」もあり得るため、ふるまい検知やEDRの価値が上がっています。

アンチウイルス/EDR製品例

ここでは記事Cにある製品例を、情シスの比較観点が分かるように整理します。個別製品の優劣というより、要件定義の材料として捉えてください。

セキュリティサービス MR-EP（導入しやすさ＋NGAV）

フルクラウド型のウイルス対策ソフト
動作が軽く、扱いやすいソフト

ビッグデータを用いてリアルタイムに脅威を分析

単価も安いので、まずはウイルス対策に特化したソフトを導入したいという企業におすすめです。

Sophos Intercept X（導入しやすさ＋EDR拡張）

https://hypervoice.jp/security_measures_intercept_x

比較的単価が安く導入しやすい
オプションでEDR機能を追加できる
ディープラーニング型AIで未知マルウェア検出を狙う
ランサムウェア対策（Crypto Guard）で暗号化を阻止
EDRで感染端末の自動隔離、侵入経緯の可視化が可能

向きやすいケース：中小〜中堅で、まず端末保護を標準化しつつ、段階的にEDRへ拡張したい場合。

VMware Carbon Black（NGAV＋EDR標準、大企業向け設計）

https://www.securitier.jp/products/cyber-attack/carbonblack/

NGAVとEDRを標準搭載
オンプレ版とクラウド版がある
大企業向けの製品設計
高いセキュリティ要件への対応実績（例：FedRAMP High 取得）

向きやすいケース：ログ・追跡・統制を強く求める環境、端末台数が多くSOC運用も視野に入れる場合。

情シスが失敗しない導入ポイント：アンチウイルスは「運用設計」が8割

製品選定時は機能比較に目が行きがちですが、現場で差が出るのは運用です。最低限、次を事前に決めておくと失敗が減ります。

誰がアラートを見るか（情シス／SOC／MSP）
アラートの優先度と初動手順（隔離判断、ネットワーク遮断、端末回収）
例外運用（誤検知時の解除手順、業務アプリの許可）
ログの保存期間と、インシデント時の調査手順
IT-BCPとの接続（「隔離して止める」判断をBCPに織り込む）

サプライチェーン攻撃は、侵入検知が遅れると被害が連鎖します。アンチウイルス/EDRは「入れて安心」ではなく、初動を速くする仕組みとして位置づけるのが要点です。

関連記事：クラウド利用で見落としがちな「保存国」と「ロックイン」BCPまで見据えた最適解は？

クラウド利用で見落としがちな「保存国」と「ロックイン」BCPまで見据えた最適解は？

2026/02/17
クラウドサービスの利用は年々拡大し、いまや企業ITの前提になりつつあります。バックアップやセキュリティ対策をベンダー側が担うことも多く、導入のハードルは下がりました。一方で、クラ...
続きを読む

まとめ：サプライチェーン攻撃時代の情シスは「予防×検知×継続」を一体で作る

サプライチェーン攻撃は、サプライチェーンでつながった“対策の弱い企業”が狙われ、被害者になるだけでなく関連企業への加害者にもなり得ます。取引先喪失や損害賠償につながる可能性もある以上、情シスは技術対策だけでなく、運用・教育・業務フローまで含めて守りを設計する必要があります。

実務の落としどころは次の3点です。

基本対策の徹底（パスワード、ネットワーク、メール、アップデート、支払い業務フロー）
IT-BCPの整備（復旧優先度、体制、構成要素、訓練・改善）
アンチウイルス/EDRの運用組み込み（検知・隔離・可視化を初動に接続）

「侵入させない」だけでなく、「侵入しても拡大させない」「止まっても戻せる」状態を作ることが、これからの情シスの価値です。

株式会社ハイパー｜マーケティング部

「クラウドインフォボックス」では、働き方改革や経営に役立つクラウドサービスの情報を掲載しています。
姉妹サイトである「HYPERVOICE（ハイパーボイス）」では、企業様の情報システム代行サービス「Business Core NEXT（ビジネスコアネクスト）」を運営しております。

【情シス必見】 サプライチェーン攻撃 に備えるセキュリティ対策と IT-BCP の作り方｜アンチウイルス/EDR導入まで一気通貫で解説