アスピレイション株式会社

アスピレイション株式会社

ブログBlog

2026.03.17

サプライチェーン・リスク管理/ SCRMの勧め



警察庁による「令和7年(2025年)のサイバー空間をめぐる脅威の情勢」に関する報告および関連する経済産業省の指導に基づき、特にサプライチェーン・リスク管理に焦点を当てた推奨事項をまとめます。


1. 警察庁による「令和7年(2025年)のサイバー空間をめぐる脅威の情勢2025年サイバー脅威の現状

20263月に発表された最新報告によると、サイバー攻撃は「単なる情報漏洩」から「事業継続を脅かす構造的脅威」へと深刻化しています。

    ランサムウェアの深刻化: 2025年の被害は226件。特にロシア系「Qilin」などのグループが、アサヒグループやアスクルといった大手企業を狙い、製造・物流を停止させる事態が発生しています。

    フィッシング・不正送金の激増: 被害額は約7,400億円に達し、従来のパスワードを盗む手法から、二要素認証をリアルタイムで突破する高度な手口へ進化しています。

    国家背景を持つ攻撃: 中国背景とされる「MirrorFace」による政府・JAXA・政党への標的型攻撃が常態化しています。

    AIの悪用: 生成AIを悪用した攻撃コードの作成や偽計業務妨害など、攻撃の「高速化・低コスト化」が進んでいます。


2. サプライチェーン・リスク管理の重要性

今回の報告や経済産業省の「サイバーセキュリティ経営ガイドライン Ver 3.0」で強調されているのは、「自社だけ守れば良い時代は終わった」ということです。

なぜ今、サプライチェーン・リスク管理なのか?

1.   弱点狙いの攻撃(アイランドホッピング): 大手企業本体ではなく、セキュリティが相対的に手薄な「子会社」や「取引先」を足掛かりに本丸へ侵入する手法が定着しています。

2.   ビジネス停止のリスク: 委託先の物流システムやITサービスが止まれば、自社の事業も止まります(アスクルの例など)。

3.   法的・社会的責任: 委託先の管理不足による漏洩は、委託元(親会社・発注元)の管理責任として厳しく問われるようになっています。


3. プロアクティブ・サイバー防御サプライチェーン・リスク管理を強化するための5ステップ

経営層およびセキュリティ担当者が取り組むべきサプライチェーン・リスク管理の推奨事項です。


①   重要サプライチェーンの棚卸しと優先付け

  自社のビジネスが依存している「取引先、外部パートナー、業務委託先」をリストアップし、リスク管理をするパートナー、ベンダーの優先付けをする。


 第三者評価による「サプライチェーン・リスク管理」を定着

  経済産業省が推進する「サプライチェーンの評価制度」やIPAの「サイバーセキュリティ経営可視化ツール」も参考にし、取引先等のセキュリティ管理体制を構築する。

  具体的には、定期的にセキュリティの脆弱性を第三者評価する「サプライチェーン・リスク管理」を定着させる。


③   第三者評価としての脆弱性検知の実践

  OSINT(公開情報調査)やパッシブスキャンによる脆弱性検知を起点に、サプライチェーンのリスクを動的に特定・優先順位付けする。評価にあたっては、自社のセキュリティポリシーに準拠した独自の重みづけを行い、各サプライヤーの優先度・重要度を客観的にスコアリングする。

  特定された重大リスクについては、是正措置の進捗を継続的にトラッキングし、セキュリティ管理体制下でのリスク管理を徹底する。


   セキュリティ調査・監査の実施

  ●  組織のセキュリティ基準準拠を支援するため、調査・監査用設問を作成し、送付・回答の進捗管理、および結果の多角的な分析までをシームレスに実施する。

  ●  セキュリティ基準のコンプライアンスへの適合性評価を実施する。

 

   総合的リスク評価

  ●  迅速な是正プロセスの確立: 検知した実リスクを即座に特定し、是正担当者へ自動通知。インシデントの芽を早期に摘み取る体制を構築する。

  ●  経営層向けインテリジェンスの提供: セキュリティの現状を多角的に分析し、迅速な意思決定を支援する簡潔かつ精緻なエグゼクティブ・サマリーを生成する。

  ●  評価プロセスの最適化: サードパーティ・リスク評価における主要なボトルネック(人的負荷や情報の非対称性)を、高度なデジタルツールの提供により解消し、評価サイクルの高速化を実現する。

 

⑥  緩和と通知

  ●  迅速なリスク通知と連携: 検出された重大なセキュリティ欠陥を、対象ベンダーへ即座に共有。情報の透明性を確保し、サプライチェーン全体での初動対応を加速させる。

  ●  AI駆動型のレメディエーション(是正)支援: AIが提示する最適な緩和戦略および推奨事項をベースに、ベンダーの修復作業を伴走型でサポート。技術的知見のギャップを埋め、確実なリスク解消を図る。

  ●  一元管理によるガバナンスの可視化: 是正の進捗状況を一元管理モジュールでリアルタイムに追跡。未対応リスクの滞留を防ぎ、組織全体のレジリエンスを定量的に評価・管理する。


<結論>

今後のサイバーセキュリティの要諦は、自社という「点」の防御から、サプライチェーン全体を包括する「面」の防御へと視点を転換することにある。サプライチェーン・リスク管理(SCRM)は、もはやIT部門の局所的な課題ではなく、事業継続を担保し、企業価値の毀損を回避するための「経営最優先の危機管理戦略」として位置づけるべきである。

お問い合わせはこちら
お問い合わせはこちら