PSI CyberSecurity Insight
2026年2月25日
株式会社ピーエスアイ
サプライチェーンを狙う攻撃とAI高度化に備える実装戦略――ネットワークゲートウェイで“連鎖”を止める
サプライチェーン攻撃が成立する構造
サイバー攻撃の主戦場は、単一企業の境界だけではなく、取引先・委託先・クラウド・ソフトウェア部品までを含む供給網へと拡大しています。攻撃者にとっては、守りの強い本体を直接狙うよりも、接続点や運用経路の弱い部分を突くほうが成功確率が高いからです。
特に、IT/OTの接続、委託・再委託の多層化、SaaS/API連携の増加、OSSやCI/CDの複雑化が重なると、どこか一箇所の侵害が別組織へ波及しやすくなります。
供給網のどこか一部が破られた瞬間に、VPNやリモート運用経路、ID連携を通じて横展開され、連鎖的な侵害へ発展し得ます。
なお、サプライチェーン経由の侵害が増加していることは、2025年のVerizon DBIRで比率が前年から増えた旨が示されている点からも、経営課題としての重みが増しています。
自社の努力だけで完結しない以上、接続を前提に「連鎖させない」設計へ切り替える必要があります。
AIで加速する攻撃と防御側の時間不足
フィッシングとBECの工業化
生成AIの普及により、自然な日本語や社内文体の模倣が容易になり、取引先を装った請求書変更や振込先変更などの詐欺が増えやすくなります。
人の注意力に依存した対策だけでは限界があり、メール経路だけでなく、侵入後の通信を止める備えが必要です。
探索・侵入・横展開の高速化
脆弱性の調査や手順の整形が半自動化され、攻撃者の試行回数が増えます。
侵入後も、権限昇格や認証情報探索、管理ツール悪用が短時間で進み、検知から封じ込めまでの猶予(MTTD/MTTR)が縮小します。供給網経由で複数社が同時に巻き込まれると、対応負荷が一気に跳ね上がります。
この状況で重要になるのが、通信を集約する地点での監視と制御です。
ネットワークゲートウェイ製品やセキュリティアプライアンスは、入口対策としての役割に加え、侵入後のC2通信や不審な横展開トラフィックを早期に遮断し、被害を局所化する要のレイヤーになります。
供給網防護の実装ポイント:統制・運用・技術
統制:重要供給者の定義と継続評価
取引先・委託先を一律に扱うのではなく、停止影響(操業停止、供給途絶、機密・個人情報)と接続形態(VPN、ID連携、API、端末管理)で重要供給者を定義し、第三者リスク評価(TPRM)を定常運用にします。
初回審査だけで終えず、更改や再委託、M&Aなど変化点で再評価することが肝心です。SBOMや脆弱性情報の提出・更新頻度も、ルールとして明文化しておくと実務が回ります。
運用:インシデント対応を“共同作業”にする
供給網は事故発生時に契約・運用の弱点が露呈します。
検知から一次報告までの時間、暫定評価の提出、調査協力、ログ保全、再委託先へのフロー・ダウン、机上演習の共同実施などを事前に設計しておくべきです。
連絡・切り離し・復旧を共同運用として決めておくことで、連鎖被害を抑えやすくなります。
技術:ゲートウェイ中心に“接続前提”で局所化
技術面では、ゼロトラストの考え方で「接続は起きる」前提に切り替え、踏み台化を防ぎます。
具体的には、MFAと条件付きアクセス、PAMによる特権作業の統制、ネットワーク分離と最小権限、EDR/XDRとログ統合に加え、拠点・DC・クラウド接続点にゲートウェイを配置して可視化と制御を強化します。
ネットワークゲートウェイ製品やセキュリティアプライアンスを活用すると、アプリケーション制御、IPS、URL/コンテンツ制御、SSL可視化、サンドボックス連携などを統合しやすく、供給網接続(VPN/リモートアクセス/サイト間接続)を一元的に監視できます。
さらにセグメンテーションと連動させることで、万一侵害されても横展開経路を絞り、OTや重要系への到達を防ぎやすくなります。
AIで攻撃が速くなるほど、この“通信の止血”が現実的な勝ち筋になります。
経営指標と投資判断:連鎖リスクを数値化
供給網対策は項目が多く、成果が見えにくくなりがちです。だからこそ、経営が追えるKPI/KRIに落とし込み、継続投資の判断材料にします。
- リスク評価:重要供給者のうち、リスク評価が最新である割合
- 認証と権限:重要供給者のMFA導入率、特権IDの個人紐付け率
- パッチ管理:到達可能資産における重大脆弱性の平均修正日数
- 対応スピード:インシデント一次報告までの平均所要時間(自社・委託先別)
- 実効性確認:演習実施数と指摘事項のクローズ率
これらを継続的に可視化し、ボトルネックを特定できるようにすると、どの投資が連鎖リスク低減に効いたのかを説明しやすくなります。
特に、接続点を守るゲートウェイ更改やログ統合は、複数施策の基盤になりやすく、費用対効果を整理しやすい領域です。
参照記事リンク:
KPMGなど「供給網でサイバー防護を」/AIで攻撃高度化 – 電気新聞ウェブサイト, 数字で読み解く2025年のランサムウェア脅威と2026年への備え, 情報セキュリティ10大脅威 2026会社概要
社名:株式会社ピーエスアイ(PSI)
所在地:〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立:1994年
TEL:03-3357-9980
FAX:03-5360-4488
URL:https://www.psi.co.jp
事業内容:サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング
報道関係者様からのお問合せ先
株式会社ピーエスアイ
広報担当:内藤
電話番号:(03)3357-9980
Eメールアドレス:psi-press@psi.co.jp
