この記事では、サプライチェーン攻撃の種類と増加理由、主要な5つのリスク(ハードウェア混入・ファームウェア改ざん・データ漏洩・システム停止・偽造品)、NIST SP 800-161・CMMC・EU NIS2などの主要フレームワーク、SBOM(Software Bill of Materials)の役割、製品セキュリティの実装(セキュアブート・コードサイニング・セキュアアップデート)、サプライヤー評価・インシデント対応を解説します。
サプライチェーン攻撃とは、最終的な攻撃対象に直接侵入するのではなく、その企業のサプライヤーやベンダーを経由して攻撃する手法です。代表的な手口には以下があります。
- 製造段階で悪意のあるチップ・コンポーネントを混入する
- ファームウェアやソフトウェアにバックドアやマルウェアを仕込む
- ベンダーのアップデートシステムを悪用してマルウェアを広範に配布する
- サプライヤーのシステムに侵入し、機密情報(設計データ・顧客情報)を窃取する
- 製造機器をハッキングして製品品質を意図的に低下・妨害する
代表的なインシデント:2020年のSolarWindsサプライチェーン攻撃(アップデートシステムへのバックドア埋め込みで18,000社以上が影響を受けた)、2017年のNotPetya(会計ソフトのアップデートを経由した世界規模の被害)が、サプライチェーン攻撃の脅威を広く認知させました。
サプライチェーン攻撃が増加している主な理由:
大企業の直接防御が強化され迂回路として有効
サプライヤー1社侵害で広範囲に被害が波及
サプライヤーのセキュリティが脆弱なことが多い
信頼関係を悪用できる
検出が極めて難しい
国家レベルの標的型攻撃にも使われる
電子製品のサプライチェーンには、以下の5つの主要なリスクカテゴリがあります。それぞれの対策を組み合わせることが重要です。
⚠ ハードウェア供給チェーン攻撃
製造段階で悪意のあるコンポーネントやチップが混入されるリスク。検出が極めて困難で、完全な検証は事実上不可能。
対策:信頼できるサプライヤーの選定、トレーサビリティの確保、ランダムなサンプル検査、独立した第三者検証
⚠ ファームウェア・ソフトウェア攻撃
製品に含まれるファームウェアやソフトウェアにバックドアやマルウェアが仕込まれるリスク。
対策:ファームウェアの署名検証、セキュアブート、SBOM管理、脆弱性スキャン、信頼できるベンダー選定
△ データ漏洩
設計データ・顧客情報・製造データなどがサプライヤー経由で漏洩するリスク。
対策:最小権限の原則、データ暗号化、アクセス監査、サプライヤーのセキュリティ評価、契約での義務化
△ システム停止
ランサムウェア等でサプライヤーのシステムが停止し、自社の生産・調達が止まるリスク。
対策:サプライヤーのBCP確認、複数ソース化(デュアルソーシング)、緊急時対応の事前準備
偽造製品の混入
サプライチェーン上で正規品と偽造品が入れ替わるリスク。電子部品の偽造問題はサプライチェーンセキュリティの重要な一部。
対策:正規ディストリビューターからの調達、受入検査(X線・特性測定)、サプライヤーの認証確認
サプライチェーンサイバーセキュリティに関連する主要なフレームワーク・規制を整理します。対象市場・業種に応じて遵守すべきものが異なります。
| フレームワーク | 発行元 | 対象・概要 |
|---|
| NIST SP 800-161 |
米国 |
C-SCRM(サイバーサプライチェーンリスク管理)の包括的フレームワーク。組織・ミッション・システムの3層でリスク管理 |
| ISO 28000 |
国際 |
サプライチェーンセキュリティマネジメントシステムの国際規格。物理的セキュリティとサイバーセキュリティを両カバー |
| NIST SSDF |
米国 |
ソフトウェア開発のセキュアなプラクティスを定めたフレームワーク。SBOM・脆弱性管理・サプライヤー要件を含む |
| CMMC |
米国DoD |
米国国防総省(DoD)サプライヤーに要求されるサイバーセキュリティ成熟度モデル認証。レベル1〜5の段階認証 |
| EU NIS2指令 |
EU |
欧州のサイバーセキュリティ指令。重要インフラ事業者とサプライヤーへのセキュリティ要求を規定 |
| EU Cyber Resilience Act |
EU |
デジタル要素を持つ製品のセキュリティ要件を規定。ソフトウェアコンポーネントの開示(SBOM)義務化を含む |
| 経済安全保障推進法(日本) |
日本 |
重要物資のサプライチェーン強靱化・基幹インフラの安全確保。信頼できるサプライヤーの選定を法的に要求 |
日本企業への実務的な影響:欧州・米国向けの製品を取り扱う企業や、DoD関連の取引がある場合は、CMMCやEU NIS2・Cyber Resilience Actへの対応が実務上必要になります。国内でも経済安全保障推進法が施行されており、「信頼できるサプライヤー」の選定が調達基準の一部になりつつあります。
SBOMは、ソフトウェアに含まれるすべてのコンポーネントのリストです。電子製品のファームウェアには多くのオープンソースコンポーネントや第三者ライブラリが含まれており、SBOMはその可視性を提供します。
SBOM が可視化するもの — ファームウェアのコンポーネント構成例
OS
FreeRTOS 10.5
lwIP 2.1.3
ライブラリ
mbedTLS 3.2
OpenSSL 1.0.2 ⚠CVE
cJSON 1.7
Zlib 1.2.11
ドライバ
USB-CDC Driver
SPI Flash Driver
⚠ CVEフラグのついたコンポーネント(OpenSSL 1.0.2)は既知の脆弱性あり。SBOMがなければ把握すら困難。
- 主要フォーマット:SPDX(Linux Foundation)、CycloneDX(OWASP)、SWID(ISO/IEC)
- メリット:既知の脆弱性(CVE)の迅速な特定、オープンソースライセンス管理、コンプライアンス対応、サプライチェーンの透明性向上
- 義務化の動向:米国大統領令14028(ソフトウェアサプライチェーンセキュリティ改善)、EU Cyber Resilience Actなどで提供義務化が進んでいる
製品に組み込むセキュリティ機能の主要な要素を解説します。設計段階から組み込むことが重要で、後付けでは対応コストが大幅に増加します。
-
セキュアブート
製品起動時にファームウェアのデジタル署名を検証し、改ざんされていないことを確認する仕組み。改ざんを検知した場合は起動を停止する。最初の防衛線として必須。
-
コードサイニング
ファームウェアと更新ファイルにデジタル署名を付け、正規ベンダーからのものであることを証明する。悪意のあるファームウェアの注入を防ぐ。
-
セキュアエレメント
専用のセキュリティチップで暗号鍵を安全に保管する。主要な製品としてATECC608(Microchip)、ATECC608B、STM32L5(ST)、ESP32-S3(Espressif)、TPM(Trusted Platform Module)などがある。
-
セキュアアップデート
製品のファームウェアを安全にアップデートする仕組み。署名検証・暗号化通信・ロールバック保護の3要素が必須。攻撃者がアップデートを悪用してマルウェアを配布することを防ぐ。
-
SBOM管理
製品に含まれる全コンポーネントのSBOMを生成・管理する。新しいCVEが公開されたとき、自社製品に影響があるかを迅速に判断できる。
-
脆弱性管理
使用しているコンポーネントの脆弱性情報を継続的にモニタリングし、必要に応じてパッチを提供する仕組み。製品の出荷後も継続的に維持が必要。
⚠ セキュリティは設計段階から組み込む:セキュアブートやコードサイニングは、ハードウェア選定と設計の段階から考慮が必要です。後から追加しようとすると、ハードウェアの変更・認証の再取得・開発コストの大幅増加につながります。特に暗号鍵の管理インフラ(PKI)の構築は時間がかかるため、製品ロードマップの早い段階で計画してください。
サプライヤーセキュリティ評価の項目
サプライヤーのセキュリティを評価する主要な項目です。重要なサプライヤーには定期的な評価と必要に応じた現地監査を実施してください。
- セキュリティポリシーと体制(CISO・セキュリティ担当者の存在)
- 認証取得状況(ISO 27001・SOC 2・CMMC等)
- アクセス制御・多要素認証の実装状況
- データ保護・暗号化の仕組み
- インシデント対応体制と過去のインシデント履歴
- 事業継続計画(BCP)・災害復旧計画(DRP)の有無
- 従業員のセキュリティ教育・訓練の実施
- 物理的セキュリティ(入退室管理・監視カメラ)
- 自社のサプライヤー管理(4th partyリスクの把握)
評価ツールと第三者評価サービス
- SecurityScorecard・BitSight・UpGuard:サプライヤーのセキュリティ姿勢を外部から継続的にスコア化する第三者評価サービス
- セキュリティアンケート:SIG(Standardized Information Gathering)等の標準的なアンケートをサプライヤーに送付して評価する
- 現地監査:重要サプライヤーには実際に訪問し、システムやプロセスを直接確認する
- 契約での要求事項:セキュリティ要件・インシデント通知義務(72時間以内等)・監査権限・責任制限を契約に明記する
インシデント対応プロセス
サプライチェーン上のインシデント発生時の対応プロセスを事前に確立しておくことが重要です。発生後に対応を考えると初動が遅れます。
- 検知:継続的なモニタリングとサプライヤーからの迅速な情報共有体制の整備
- 評価:影響範囲と重大度の迅速な評価(自社製品・顧客への影響を含む)
- 封じ込め:影響を受けたシステム・製品の隔離と被害拡大の防止
- 調査・復旧:根本原因の特定と恒久的な修正の実施
- コミュニケーション:経営層・関係部門・サプライヤー・顧客・規制当局への適切な情報共有
政府・業界の取り組み(最新動向)
- 米国:CHIPS法によるサプライチェーン強靱化、大統領令によるソフトウェアセキュリティ要求(SBOM義務化)、CISAのガイダンス
- EU:NIS2指令(2024年施行)・Cyber Resilience Act(CRA、2027年完全適用予定)
- 日本:経済安全保障推進法・NISC(内閣サイバーセキュリティセンター)のガイドライン・サプライチェーンセキュリティ指針の整備
中小企業の現実的なアプローチ
中小企業はリソースが限られていますが、完璧を目指すより、リスクの大きいところから優先的に対応することが現実的です。
- 基本的なセキュリティ対策(パスワード強化・多要素認証・セキュリティパッチ・バックアップ)を最優先で実施する
- 信頼できるサプライヤーの選定(認証取得状況・取引実績の確認)
- サプライヤー契約にセキュリティ要件とインシデント通知義務を明記する
- CVEデータベース・JVN(日本脆弱性情報)の定期チェック
- 業界団体・政府機関(IPA・NISC等)の無料ガイドラインを活用する
- 必要に応じて外部のセキュリティ専門家を活用する
まとめ
サプライチェーンのサイバーセキュリティは、現代の電子製品ビジネスで避けて通れない課題です。信頼できるサプライヤーの選定・SBOM管理・製品セキュリティ(セキュアブート・コードサイニング・セキュアアップデート)の組み込み・インシデント対応の準備を組み合わせることで、サプライチェーン全体の安全性を高められます。NIST SP 800-161・CMMC・EU NIS2などの規制は今後さらに強化される方向にあります。継続的なリスク評価と改善により、競合他社との差別化にもなります。