2σ Guide

サプライチェーン攻撃の
被害対応実務

委託先、クラウド、ソフトウェア部品、ID基盤などを経由する攻撃について、企業法務、危機管理、技術調査、対外説明を一体で進めるための実務ポイントを整理します。

第2位 IPA組織向け脅威 2026
3-5日 漏えい等の速報目安
30/60日 確報期限の基本線
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

サプライチェーン攻撃の 被害対応実務

復旧、法的報告、契約対応、公表、再発防止を同じ時間軸で動かすことが出発点です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
サプライチェーン攻撃の 被害対応実務
復旧、法的報告、契約対応、公表、再発防止を同じ時間軸で動かすことが出発点です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • サプライチェーン攻撃の 被害対応実務
  • 復旧、法的報告、契約対応、公表、再発防止を同じ時間軸で動かすことが出発点です。

POINT 1

  • サプライチェーン攻撃の被害対応で最初に押さえる全体像
  • 復旧、法的報告、契約対応、公表、再発防止を同じ時間軸で動かすことが出発点です。
  • 被害対応は全社的な危機管理です
  • サプライチェーン攻撃の被害対応は、単なる自社システムの復旧作業ではありません。
  • 次の強調表示は、被害対応で同時に統合すべき考え方を表しています。

POINT 2

  • サプライチェーン攻撃とは何か ― 被害対応の前提となる定義
  • 製造業の供給網だけでなく、SaaS、クラウド、保守経路、開発環境、OSSまで含めて捉えます。
  • 被害対応に含める範囲
  • ここでいうサプライチェーンは、製造業の部品供給網だけを意味しません。

POINT 3

  • サプライチェーン攻撃の被害対応が難しい理由
  • 事実が社外にあります
  • 時間軸がずれます
  • 封じ込めは数時間単位で進み、法的評価や公表文は慎重な確認を要します。

POINT 4

  • サプライチェーン攻撃の被害対応は平時準備で決まります
  • 1. サイバーリスク報告:重要委託先のリスク評価、演習結果、内部監査結果、保険更新、監督官庁対応方針を取締役会または経営会議で扱います。
  • 2. サプライヤー評価:データ重要度、接続深度、業務依存度、代替困難性を確認し、契約条項とセキュリティ要求に反映します。
  • 3. 法務・広報・経営判断を含む訓練:委託先侵害、SaaS侵害、MSP悪用、OSS更新汚染、製造委託先停止などのシナリオで、初報から公表までを検証します。

POINT 5

  • サプライチェーン攻撃の初動対応 ― 0時間から24時間
  • 1. 安全影響を確認:人命、医療、金融、製造安全、社会インフラへの影響を最初に見ます。
  • 2. 攻撃継続を確認:侵害された接続、管理者アカウント、VPN、APIキー、SaaS連携を確認します。
  • 3. 止める前に保存する証拠を決める:ID、EDR、SIEM、クラウド監査ログ、メール、端末、通信記録を優先します。
  • 4. 封じ込めと初期通知:遮断、停止、秘密情報ローテーション、契約・当局・保険の期限確認を進めます。
  • 5. 調査範囲を拡大:委託先、クラウド、MSPへログ保全を要請し、断定せず続報管理をします。

POINT 6

  • サプライチェーン攻撃の24時間から72時間 ― 報告・通知・公表の骨格
  • 完全な原因究明を待たず、法的・事業的に重要な影響範囲を一次評価します。
  • 警察・JPCERT/CC・IPA等への相談
  • 上場会社の適時開示とインサイダー情報管理
  • 最初の72時間では、影響を受けたシステム、情報、相手、影響の態様、継続リスクを分類します。

POINT 7

  • サプライチェーン攻撃の3日から30日 ― 調査・復旧・責任整理
  • 復旧可能性
  • 暗号化範囲、バックアップの健全性、世代、隔離性、復元テストを確認します。
  • データ持ち出し
  • リークサイト掲載、圧縮・転送の痕跡、攻撃者の脅迫文、二次被害の可能性を確認します。

POINT 8

  • サプライチェーン攻撃の30日から90日以降 ― 再発防止とガバナンス
  • 1. 重要サプライヤーの分類:データ重要度、接続深度、業務依存度、代替困難性で分類します。
  • 2. セキュリティ要求の提示:認証、暗号化、ログ、脆弱性対応、バックアップ、開発管理を要求します。
  • 3. 証跡取得と契約反映:第三者認証、監査報告書、SCS評価、テスト結果を確認し、通知、協力、監査、再委託、責任、事業継続へ反映します。
  • 4. 継続監視と退出計画:年次確認、重大変更時確認、情報共有、データ返還・削除、代替ベンダー、移行手順を管理します。

まとめ

  • サプライチェーン攻撃の 被害対応実務
  • サプライチェーン攻撃の被害対応で最初に押さえる全体像:復旧、法的報告、契約対応、公表、再発防止を同じ時間軸で動かすことが出発点です。
  • サプライチェーン攻撃とは何か ― 被害対応の前提となる定義:製造業の供給網だけでなく、SaaS、クラウド、保守経路、開発環境、OSSまで含めて捉えます。
  • サプライチェーン攻撃の被害対応が難しい理由:複数組織に事実が分散し、技術対応、法的対応、公表判断の時間軸がずれます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

サプライチェーン攻撃の被害対応で最初に押さえる全体像

復旧、法的報告、契約対応、公表、再発防止を同じ時間軸で動かすことが出発点です。

このページは、企業がサプライチェーン攻撃を受けた場合の被害対応について、企業法務、個人情報保護、危機管理、デジタルフォレンジック、契約実務、経営ガバナンスの観点から整理する一般的な解説です。個別案件では、業種、契約構造、情報の種類、海外拠点の有無、上場状況、監督官庁、被害規模、攻撃の継続性、証拠の状態によって判断が変わります。

実際の対応では、企業内弁護士、外部弁護士、CISO、CSIRT、個人情報保護担当、デジタルフォレンジック専門家、監査・会計専門家、広報・IR担当、必要に応じて所管官庁、警察、JPCERT/CC等と連携して検討する必要があります。

サプライチェーン攻撃の被害対応は、単なる自社システムの復旧作業ではありません。攻撃者は、委託先、再委託先、クラウド、マネージドサービスプロバイダ、ソフトウェア部品、更新配信機構、開発環境、API、ID管理基盤、物流・製造・保守網など、企業活動を支える外部依存関係を足場にします。

次の強調表示は、被害対応で同時に統合すべき考え方を表しています。読者にとって重要なのは、技術復旧だけを急ぐのではなく、証拠、通知、説明、契約協力、経営判断を同じ作業計画に乗せる必要があると読み取ることです。

被害対応は全社的な危機管理です

封じ込め、証拠保全、個人情報対応、契約通知、顧客説明、事業継続、復旧、再発防止を分断せず、対策本部で一元的に扱うことが信頼回復の前提になります。

初動から統合する八つの視点

  1. 証拠を壊さず、端末、サーバ、クラウド、ID基盤、ログを保全しながら被害拡大を止めます。
  2. 危機対策本部を設置し、法務、IT、広報、経営が同じ情報を見て動ける状態にします。
  3. 委託元、委託先、再委託先、クラウド提供者、共同利用者などの関係を地図化します。
  4. 個人情報保護委員会への報告、本人通知、契約通知、監督官庁報告、適時開示、海外通知期限を一覧化します。
  5. 公表と技術情報共有を分け、被害拡大防止に必要な情報と顧客情報・営業秘密を区別します。
  6. 初報で断定しすぎず、判明している事実、調査中の事項、実施済み措置、次回更新予定を明確にします。
  7. 契約責任の議論と、ログ提供、接続停止、共同調査、顧客説明への協力を切り分けます。
  8. 再発防止を調達、契約、監査、開発、アクセス権限、バックアップ、演習に戻します。
Section 01

サプライチェーン攻撃とは何か ― 被害対応の前提となる定義

製造業の供給網だけでなく、SaaS、クラウド、保守経路、開発環境、OSSまで含めて捉えます。

サプライチェーン攻撃とは、最終的な標的企業を直接攻撃するのではなく、その企業が依存する外部の組織、サービス、ソフトウェア、部品、保守経路、開発環境、取引網、認証基盤などを悪用して、侵入、情報窃取、業務妨害を行う攻撃です。

ここでいうサプライチェーンは、製造業の部品供給網だけを意味しません。システム開発会社、クラウド事業者、SaaS、会計・給与・人事サービス、物流、コールセンター、販売代理店、決済代行、広告配信、ソフトウェアライブラリ、オープンソース、CI/CD、電子証明書、IDプロバイダ、リモート保守ベンダーも含まれます。

次の比較表は、サプライチェーン攻撃の代表的な経路と、企業法務で同時に確認すべき論点を整理したものです。読者にとって重要なのは、攻撃経路ごとに必要な契約確認、情報保護、責任整理が異なるため、自社の事案がどの類型に近いかを早期に見分けることです。

類型法務上の主な論点
委託先侵害型業務委託先、BPO、開発会社、保守ベンダーが侵害され、自社データが流出します。委託契約、再委託、個人情報保護法、秘密保持、損害賠償、本人通知を確認します。
リモート保守悪用型VPN、リモートデスクトップ、保守アカウント、MSPツールが悪用されます。アクセス管理義務、ログ提供、権限設計、過失、契約監査権を確認します。
ソフトウェア更新汚染型正規アップデートやパッケージ配布経路にマルウェアが混入します。サービス責任、脆弱性対応、顧客通知、SBOM、ライセンスを確認します。
オープンソース依存型OSSライブラリ、パッケージ、コンテナイメージ、依存関係に悪意あるコードや脆弱性が含まれます。開発管理、OSSコンプライアンス、契約保証、セキュア開発義務を確認します。
クラウド・SaaS侵害型SaaS管理画面、APIキー、IDプロバイダ、クラウドストレージが悪用されます。データ処理契約、責任分界、ログ取得、越境移転、顧客説明を確認します。
ビジネスメール・商流詐欺型取引先メールの侵害により、偽請求書や送金先変更が行われます。支払義務、本人確認、内部統制、損害分担、保険を確認します。
製造・OT波及型取引先ネットワーク経由で工場、制御システム、物流に影響が及びます。事業継続、製品供給責任、安全配慮、監督官庁報告を確認します。

被害対応に含める範囲

被害対応には、インシデント検知、初期トリアージ、被害拡大防止、証拠保全、ログ保全、デジタルフォレンジック、委託先・クラウド事業者との共同調査、個人情報・営業秘密・業務データの影響評価が含まれます。

さらに、個人情報保護委員会、警察、JPCERT/CC、IPA、所管官庁等への報告・相談、取引先、顧客、本人、株主、投資家、従業員、メディアへの説明、契約上の通知・協力・補償・責任制限、保険通知、損害算定、訴訟・紛争対応、再発防止、取締役会報告、内部統制改善までを一連の作業として扱います。

Section 02

サプライチェーン攻撃の被害対応が難しい理由

複数組織に事実が分散し、技術対応、法的対応、公表判断の時間軸がずれます。

サプライチェーン攻撃では、侵入経路、攻撃者の操作ログ、漏えいしたデータ、再委託先の関与が複数組織に分散します。自社は攻撃者から見れば被害者ですが、顧客や委託元から見れば、損害発生の原因企業に見える場合があります。

技術班は、アカウント停止、ネットワーク遮断、パッチ適用、再構築を急ぎます。一方で法務班は、証拠保全、原因調査、通知義務、監督官庁報告、損害賠償、保険、訴訟リスクを考えます。ここで調整を誤ると、復旧を急いでログを消す、または証拠保全に固執して被害拡大を放置するという失敗が起こります。

次の一覧は、対応が難しくなる主な要因を四つに分けたものです。読者にとって重要なのは、各要因が単独ではなく連鎖するため、法務・技術・広報・経営の連携を初期から設計する必要があると読み取ることです。

事実が社外にあります

侵入経路、ログ、再委託先、クラウド操作履歴が委託先や外部サービス側にあるため、契約上の監査権やログ提供義務が重要になります。

時間軸がずれます

封じ込めは数時間単位で進み、法的評価や公表文は慎重な確認を要します。最低限の証拠を保存しながら止める順序を決めます。

伝える相手が多層です

当局、委託元、本人、取引先、投資家、社員、メディアに対し、目的と粒度を分けた説明が必要になります。

立場が揺れます

自社も被害者である一方、顧客からは委託先または原因企業と見られる場合があり、注意義務と説明の誠実性が問われます。

次の比較表は、情報を伝える相手、目的、留意点を区別したものです。読者にとって重要なのは、公表、法令上の報告、契約上の通知、技術情報共有を混同せず、相手ごとに必要な情報だけを適切な粒度で出すことです。

区分主な相手主な目的留意点
技術情報共有JPCERT/CC、業界ISAC、セキュリティベンダー、同種被害企業被害拡大防止、攻撃手法把握、IOC共有被害者名、顧客名、営業秘密を不要に含めないようにします。
法令上の報告個人情報保護委員会、所管官庁、海外当局等法令遵守、監督対応期限、様式、報告主体、続報管理を確認します。
契約上の通知委託元、顧客、共同事業者、保険会社契約履行、協力要請、損害拡大防止通知期限、通知先、協力義務、責任留保を確認します。
本人通知個人データ本人、従業員、会員、患者、取引先担当者等二次被害防止、権利保護対象者特定、なりすまし防止、問い合わせ対応を設計します。
公表社会、メディア、投資家、利用者透明性確保、混乱防止、風評抑制未確定情報の断定を避け、更新計画を示します。
Section 03

サプライチェーン攻撃の被害対応は平時準備で決まります

台帳、契約、経営関与、演習を発生前にそろえておくことが実務上の差になります。

発生後に初めて委託先、契約通知先、ログ保存状況、緊急連絡先を探す体制では、初動で大きく遅れます。平時の準備では、法務、調達、IT、事業部門が共同で、重要委託先と外部依存関係を見える化します。

次の比較表は、サプライチェーン台帳に入れるべき情報を整理したものです。読者にとって重要なのは、攻撃発覚後に誰へ、どの情報について、いつまでに、誰が通知するかを決めるために、契約情報と技術接続情報を同じ台帳で管理する必要がある点です。

台帳項目整理する内容
外部依存先重要委託先、再委託先、クラウド、SaaS、MSP、決済代行、物流、コールセンターを整理します。
接続方式VPN、API、SFTP、専用線、クラウドIAM、管理者アカウントを整理します。
取り扱う情報個人データ、要配慮個人情報、決済情報、営業秘密、ソースコード、設計情報、医療情報、金融情報を分類します。
契約条件通知期限、監査権、再委託承諾、ログ提供義務、セキュリティ基準、損害賠償、責任制限を確認します。
連絡と継続担当者、緊急連絡先、夜間休日連絡方法、代替手段、バックアップ、業務継続上の重要度を記録します。
海外要素海外移転、海外委託、外国法規制、海外拠点の有無を確認します。

次の比較表は、有事に情報が出る契約条項を中心に整理しています。読者にとって重要なのは、責任追及条項だけでなく、ログ提供、調査協力、通知、再委託管理のように、調査と説明を可能にする条項を事前に入れておくことです。

条項実務上の意義
セキュリティ基準MFA、暗号化、ログ保存、脆弱性管理、EDR、バックアップ等の最低水準を明文化します。
インシデント通知何時間以内に誰へ何を通知するかを定めます。単に速やかにと書くだけでは不足しやすくなります。
調査協力・ログ提供フォレンジック、ログ、IOC、影響範囲調査への協力義務を定めます。
再委託管理再委託の承諾、再委託先への同等義務、再委託先侵害時の通知を定めます。
監査権平時監査と有事監査を分け、第三者認証やSCS評価も参照できるようにします。
データ返還・削除侵害時、契約終了時、委託終了時の削除証明やバックアップの扱いを定めます。
秘密保持攻撃情報共有、当局報告、公表との関係を整理します。
損害賠償・責任制限直接損害、間接損害、逸失利益、制限額、例外を定めます。
サイバー保険保険加入義務、保険通知、保険金請求協力を定めます。
事業継続RTO、RPO、代替手段、停止判断、復旧優先順位を定めます。

次の時系列は、平時準備を経営管理に戻す流れを表しています。読者にとって重要なのは、サイバーリスクをIT部門だけに閉じず、取締役会報告、予算、演習、内部監査、保険更新まで継続的に回す必要があると読み取ることです。

年次

サイバーリスク報告

重要委託先のリスク評価、演習結果、内部監査結果、保険更新、監督官庁対応方針を取締役会または経営会議で扱います。

契約時

サプライヤー評価

データ重要度、接続深度、業務依存度、代替困難性を確認し、契約条項とセキュリティ要求に反映します。

演習時

法務・広報・経営判断を含む訓練

委託先侵害、SaaS侵害、MSP悪用、OSS更新汚染、製造委託先停止などのシナリオで、初報から公表までを検証します。

Section 04

サプライチェーン攻撃の初動対応 ― 0時間から24時間

人命・安全、攻撃継続、封じ込め、証拠保全、通知期限を同時に見ます。

初動では、人命・安全・社会インフラ・医療・金融・製造安全への影響、攻撃の継続性、止めるべき接続、保存すべき証拠、個人情報や営業秘密への影響、契約・法令・監督官庁・顧客通知期限、経営判断事項を順番に確認します。

次の判断の流れは、初動24時間で確認する順番を表しています。読者にとって重要なのは、いきなり全停止するのではなく、命や社会的影響、攻撃継続、証拠保全、通知期限を順に見て、止める対象と残す証拠を決めることです。

初動24時間の判断順序

安全影響を確認

人命、医療、金融、製造安全、社会インフラへの影響を最初に見ます。

攻撃継続を確認

侵害された接続、管理者アカウント、VPN、APIキー、SaaS連携を確認します。

止める前に保存する証拠を決める

ID、EDR、SIEM、クラウド監査ログ、メール、端末、通信記録を優先します。

影響あり
封じ込めと初期通知

遮断、停止、秘密情報ローテーション、契約・当局・保険の期限確認を進めます。

影響不明
調査範囲を拡大

委託先、クラウド、MSPへログ保全を要請し、断定せず続報管理をします。

次の比較表は、対策本部で分ける役割と任務を整理したものです。読者にとって重要なのは、唯一の真実の情報源を作り、部署ごとに異なる説明をしない体制を最初の数時間で置くことです。

役割主担当主な任務
インシデントコマンダーCISO、CIO、危機管理責任者、経営幹部全体指揮、優先順位、リソース確保を行います。
法務責任者ゼネラルカウンセル、企業内弁護士、外部弁護士法令、契約、証拠、責任、当局対応を統括します。
技術調査班CSIRT、SOC、IT、フォレンジック専門家封じ込め、ログ保全、原因調査、復旧を担います。
プライバシー班個人情報保護担当、DPO、法務個人データ影響評価、PPC報告、本人通知を扱います。
事業継続班事業部門、製造、物流、営業、カスタマーサポート代替運用、顧客対応、サービス復旧を調整します。
広報・IR班広報、IR、経営企画公表文、投資家説明、FAQ、問い合わせを管理します。
調達・ベンダー班調達、外部委託管理、IT契約担当委託先連絡、契約確認、ログ要請を行います。
財務・保険班経理、財務、保険、会計士損害把握、保険通知、開示影響を確認します。
人事・労務班人事、社労士、労務法務従業員端末、内部調査、労務対応を扱います。

次の一覧は、初動で保存または保全要請を行う証拠を種類ごとに分けたものです。読者にとって重要なのは、消えやすいログやメモリ情報から優先し、外部組織にある証拠は具体的な対象を示して保全要請することです。

01

端末・サーバ

EDRアラート、端末ログ、メモリ、ディスクイメージ、バックアップ履歴、暗号化ファイルのサンプルを保全します。

証拠保全
02

認証・接続

VPN、RDP、ゼロトラストアクセス、IDプロバイダ、SSO、MFA、管理者操作ログを確認します。

ID基盤
03

クラウド・メール

クラウド監査ログ、ストレージアクセスログ、APIログ、メールヘッダ、転送設定、OAuth許可を保全します。

外部サービス
04

開発・配布経路

CI/CD、Git、コンテナレジストリ、パッケージ管理ログ、秘密情報の利用履歴を確認します。

ソフトウェア供給網

避けるべき初動

  • 感染端末を通常の手順で再起動し、メモリ証拠を失う対応は避けます。
  • 端末を初期化してからフォレンジック会社へ相談する対応は避けます。
  • ログ保持期間を確認せず、クラウドログが自動削除される状態を放置しません。
  • 侵害されたアカウントだけを停止し、同じ権限を持つ別アカウントを放置しません。
  • 顧客向けに、漏えいはないと早期に断定しないようにします。
Section 05

サプライチェーン攻撃の24時間から72時間 ― 報告・通知・公表の骨格

完全な原因究明を待たず、法的・事業的に重要な影響範囲を一次評価します。

最初の72時間では、影響を受けたシステム、情報、相手、影響の態様、継続リスクを分類します。本番、開発、検証、バックアップ、ID基盤、端末、クラウド、SaaSのどこが影響を受けたか、個人データ、決済情報、認証情報、営業秘密、技術情報、未公表情報が含まれるかを確認します。

次の比較表は、個人情報保護法上の漏えい等対応で特に確認する期限と対象を整理したものです。読者にとって重要なのは、実際の持ち出しが確定していなくても、漏えい等のおそれがある段階で報告や本人通知の検討が始まる点です。

項目確認する内容
速報発覚日から3-5日以内を目安に、判明している範囲で個人情報保護委員会への報告を検討します。
確報原則30日以内に報告します。不正目的のおそれがある場合は60日以内が基本線になります。
報告対象要配慮個人情報、財産的被害のおそれがある情報、不正目的による行為、1,000人超に係る漏えい等を確認します。
委託先侵害委託元と委託先の役割、本人との関係、契約上の分担、実態に基づき報告主体を整理します。
本人通知対象者、情報の種類、二次被害防止策、問い合わせ窓口、更新方法を検討します。
海外要素GDPR、NIS2、各国データ保護法、業法上の通知期限が併存する可能性を確認します。

次の比較表は、契約上の通知を管理するための項目です。読者にとって重要なのは、複数契約の通知期限が同時に動き始めるため、相手方、期限、必要記載事項、責任留保を一覧化して管理することです。

管理項目内容
契約名・相手方顧客、委託元、委託先、再委託先、クラウド、保険会社を整理します。
通知事由セキュリティ事故、漏えい等、サービス停止、不可抗力、重大障害を確認します。
通知期限即時、24時間、48時間、72時間、合理的期間などの期限を管理します。
通知先契約担当、法務、セキュリティ窓口、指定メール、ポータルを確認します。
必要記載事項発生日、影響範囲、対応状況、再発防止、本人通知、当局報告を整理します。
公表制限事前承諾、協議、例外、当局要請時の扱いを確認します。
責任留保初期通知では、責任を認める趣旨ではないことや権利留保を必要に応じて明記します。

警察・JPCERT/CC・IPA等への相談

不正アクセス、電子計算機損壊等業務妨害、恐喝、詐欺、マルウェア配布、秘密情報窃取など刑事事件性がある場合、警察への相談・被害申告、JPCERT/CCへのインシデント対応依頼、IPAへの届出・相談を検討します。外部機関へ提供する情報の範囲、秘密保持、個人情報、営業秘密、証拠の真正性、将来の刑事・民事手続への影響も整理します。

上場会社の適時開示とインサイダー情報管理

上場会社または上場準備企業では、業績、事業継続、重要サービス、顧客信用、財務諸表、内部統制、重要契約への影響を踏まえ、適時開示、臨時報告、投資家説明の要否を検討します。未公表の重要事実になり得るため、関係者リスト、役員・社員への売買制限、外部専門家との秘密保持、IR文言の整合性を管理します。

Section 06

サプライチェーン攻撃の3日から30日 ― 調査・復旧・責任整理

フォレンジック調査、ランサムウェア、公表、保険、会計処理を並行して進めます。

3日から30日の段階では、原因調査と事業復旧が進む一方で、顧客・委託元への説明、本人通知、公表、保険通知、損害算定、会計・税務・開示への影響を整理します。調査は犯人探しだけではなく、法務上の問いに答えるために設計します。

次の比較表は、法務上の問いと技術調査で確認すべき事項の対応関係を表しています。読者にとって重要なのは、調査依頼を抽象的に出すのではなく、通知・公表・損害評価に必要な答えを技術調査の項目へ落とし込むことです。

法務上の問い技術調査で確認すべき事項
いつ侵入されたか初期侵入時点、横展開、権限昇格、データアクセス時点を確認します。
どこから侵入されたか脆弱性、認証情報、委託先VPN、RDP、メール、SaaS、CI/CDを確認します。
何にアクセスされたかファイル、DB、メール、クラウドストレージ、ソースコード、ログを確認します。
データは持ち出されたか圧縮、転送、外部通信、クラウド同期、リークサイト、攻撃者痕跡を確認します。
攻撃は継続しているか永続化、バックドア、未停止アカウント、スケジュールタスク、WebShellを確認します。
顧客・委託元に影響があるか顧客別データ、テナント分離、アクセス制御、共有領域を確認します。
委託先・再委託先の責任はあるか契約基準違反、ログ欠落、パッチ未適用、MFA不備、再委託管理不備を確認します。
再発防止は何か根本原因、設計不備、運用不備、監査不備、教育不足を整理します。

次の一覧は、ランサムウェアを伴う場合の判断要素を整理したものです。読者にとって重要なのは、身代金支払を単なる復旧手段として扱わず、技術、法務、保険、警察、経営、社会的影響を含む重大な経営判断として扱うことです。

復旧可能性

暗号化範囲、バックアップの健全性、世代、隔離性、復元テストを確認します。

データ持ち出し

リークサイト掲載、圧縮・転送の痕跡、攻撃者の脅迫文、二次被害の可能性を確認します。

支払リスク

復号や漏えい防止は保証されず、制裁、犯罪収益移転、反社会的勢力対応、保険約款、社会的批判に関係します。

社会的影響

医療、製造、物流、顧客サービス、消費者への影響を踏まえ、事業継続と説明を検討します。

顧客・委託元への説明

説明では、自社データへの影響、個人情報・営業秘密・未公表情報の有無、二次被害防止策、サービス停止・復旧見込み、当局報告・本人通知の分担、追加調査結果の共有時期、再発防止策に答える必要があります。初報は、判明済み事実、調査中事項、相手方にお願いしたい事項を分け、断定しすぎない形にします。

公表文・保険・会計

公表文では、発覚日、発覚経緯、影響システム、影響情報、対象人数や顧客数、実施済み措置、二次被害防止策、今後の対応、問い合わせ窓口、役員コメントの要否、関係者へのお詫びを整理します。保険では、通知期限、事前承認、対象費用、免責事由、制裁条項、外部専門家指定を確認します。会計・税務では、復旧費用、専門家費用、通知費用、訴訟費用、損害賠償引当金、保険金収入、事業停止による売上減、内部統制報告制度への影響を確認します。

Section 07

サプライチェーン攻撃の30日から90日以降 ― 再発防止とガバナンス

根本原因を技術、契約、管理、経営に分け、調達・契約・監査・開発へ戻します。

再発防止策は、MFA導入や社員教育だけでは不十分です。技術、契約、管理、経営の四層で根本原因を整理し、責任者、期限、予算、監査方法まで決める必要があります。

次の比較表は、根本原因を四層に分けて整理したものです。読者にとって重要なのは、技術的な欠陥だけでなく、契約条項、サプライヤー管理、取締役会報告、予算判断まで再発防止の対象に含めることです。

技術脆弱性未修正、MFA未導入、過大権限、ログ不足、ネットワーク分離不足、バックアップ不備を見直します。
契約通知期限なし、ログ提供義務なし、再委託管理不備、監査権なし、責任分界の曖昧さを見直します。
管理サプライヤー台帳なし、重要委託先評価なし、例外管理なし、演習なし、連絡網不備を見直します。
経営セキュリティ予算不足、取締役会報告不足、CISO権限不足、リスク受容の記録なしを見直します。

次の時系列は、サプライヤーリスク管理を調達から退出まで組み込む流れを表しています。読者にとって重要なのは、契約締結時だけでなく、利用開始後も継続的に評価し、重大変更やインシデント時に見直すことです。

分類

重要サプライヤーの分類

データ重要度、接続深度、業務依存度、代替困難性で分類します。

要求

セキュリティ要求の提示

認証、暗号化、ログ、脆弱性対応、バックアップ、開発管理を要求します。

証跡

証跡取得と契約反映

第三者認証、監査報告書、SCS評価、テスト結果を確認し、通知、協力、監査、再委託、責任、事業継続へ反映します。

運用

継続監視と退出計画

年次確認、重大変更時確認、情報共有、データ返還・削除、代替ベンダー、移行手順を管理します。

次の一覧は、ソフトウェアを開発・提供する企業が再発防止に組み込む対策を整理したものです。読者にとって重要なのは、SBOMやSSDFを開発部門だけの手順にせず、契約保証、監査、顧客説明、脆弱性開示の基準として使うことです。

01

部品と開発手順

SBOM、SSDF、依存パッケージの脆弱性管理、依存関係固定、悪意あるパッケージ対策を組み込みます。

開発管理
02

ビルドと配布

署名付きビルド、改ざん検知、リリース承認、CI/CDの権限分離、秘密情報管理、監査ログを整備します。

供給経路
03

検査と分離

コードレビュー、SAST、DAST、SCA、IaCスキャン、本番環境と開発環境の分離を進めます。

検証
04

顧客通知

顧客向け脆弱性通知プロセス、緊急連絡先、公開範囲、更新計画を整備します。

対外対応

取締役会・監査役会への最終報告

最終報告書には、事案概要、発覚経緯、時系列、侵入経路、攻撃者の行動、影響範囲、個人情報・営業秘密・顧客データの影響、事業影響、財務影響、顧客対応、当局対応、初動対応の評価、契約・委託先管理の課題、法令・契約違反の有無、損害賠償・保険対応、再発防止策、責任者、期限、予算、取締役会としての監督事項、追加公表の要否を含めます。

Section 09

サプライチェーン攻撃の被害対応で誰が何をするか

専門職の役割は重なります。平時から分担を決めておくことが初動の速度を左右します。

被害対応では、経営、取締役会、監査役、法務、外部専門家、CISO、CSIRT、フォレンジック、個人情報保護担当、広報、営業、人事、会計、知財、外部機関が同時に動きます。攻撃後に初めて名簿を作る組織は、初動で遅れやすくなります。

次の比較表は、主な関与者と役割を整理したものです。読者にとって重要なのは、誰が意思決定し、誰が証拠を守り、誰が顧客へ説明し、誰が当局や専門機関と接点を持つかを明確にすることです。

関与者主な役割
経営者・CEO重大判断、対策本部設置、顧客・社会への説明責任を担います。
取締役会リスク監督、再発防止承認、開示・事業継続判断を行います。
監査役・監査等委員内部統制・取締役職務執行の監査、再発防止の確認を担います。
ゼネラルカウンセル・CLO法的全体統括、経営判断支援、外部弁護士管理を行います。
企業内弁護士・法務担当契約確認、通知、当局対応、証拠保全、責任整理を担います。
外部弁護士・外国法事務弁護士法的リスク評価、秘匿特権、当局・訴訟・公表支援、海外通知を支援します。
CISO・CSIRT技術指揮、封じ込め、復旧、IOC共有、セキュリティ判断を担います。
デジタルフォレンジック専門家証拠保全、原因調査、漏えい可能性評価、報告書作成を行います。
個人情報保護担当・DPO個人データ影響評価、PPC報告、本人通知、海外移転を確認します。
調達・ベンダー管理委託先連絡、契約上の協力要請、サプライヤー評価を担います。
広報・IR公表文、FAQ、メディア、投資家、従業員向け説明を整えます。
公認会計士・税理士損害、引当、保険金、税務、内部統制評価を確認します。
警察・JPCERT/CC・IPA被害相談、情報共有、被害拡大防止、技術的助言の窓口になります。
Section 10

サプライチェーン攻撃の実務チェックリスト

初動24時間、法務、技術の三つに分けて、確認漏れを減らします。

チェックリストは、対策本部の作業漏れを減らすための確認表です。読者にとって重要なのは、同じ項目を一度だけ確認するのではなく、事実が更新されるたびに初動、法務、技術の観点から再確認することです。

First 24h

初動24時間

  • 対策本部、指揮者、法務責任者、技術責任者を決めます。
  • 事実確認表、時系列、意思決定ログを作ります。
  • 影響システム、接続先、攻撃継続、遮断対象を確認します。
  • 端末、サーバ、クラウド、ID、メール、ネットワークログを保全します。
  • 委託先、クラウド、MSPへログ保全と初期報告を要請します。
  • 個人情報、営業秘密、決済情報、認証情報の影響を一次評価します。
  • PPC、所管官庁、警察、JPCERT/CC、IPA、保険会社への相談・通知要否を検討します。
Legal

法務確認

  • 委託元、委託先、再委託先、共同利用者の関係を整理します。
  • 報告主体、本人通知の対象者、方法、文面、時期を検討します。
  • 報告期限、契約通知期限、海外通知期限をカレンダー化します。
  • 秘密保持契約と当局報告・情報共有の関係を整理します。
  • 責任制限、補償、解除、監査権を確認します。
  • 対外文書で責任を不必要に認めていないか確認します。
  • 取締役会・監査役会への報告を行います。
Technical

技術確認

  • 初期侵入経路、永続化、横展開、権限昇格を仮説化します。
  • IOC、TTP、マルウェア、C2通信を整理します。
  • 影響アカウント、APIキー、証明書、SSH鍵、OAuthトークンをローテーションします。
  • バックアップの改ざん、感染、暗号化有無を確認します。
  • 復旧環境が再感染しないことを検証します。
  • ログ保持期間を延長し、委託先・クラウドから必要ログを取得します。
  • 経営・法務向けに非技術者でも理解できる調査要約を作成します。
Section 11

サプライチェーン攻撃の初期連絡ひな形

顧客・委託元への第1報と、サプライヤーへの情報提供要請を分けて準備します。

顧客・委託元向け第1報の構成

初報は、現時点で判明している情報に基づくものとして、影響範囲、原因、データ漏えいの有無が調査中であることを明確にします。件名、発覚日時、対象システム、現時点の影響、実施済み措置、相手方にお願いしたい事項、更新予定、責任判断を示すものではない旨、問い合わせ先を含めます。

件名 ― セキュリティインシデント発生に関するご報告(第1報)。当社は、○年○月○日、当社が利用または提供する○○システムに関し、第三者による不正アクセスの可能性を認識しました。現在、外部専門機関の支援を受け、影響範囲、原因、データ漏えいの有無を調査しています。新たな事実が判明した場合には速やかにご報告します。

サプライヤーへの情報提供要請の構成

サプライヤーへの要請では、未確定事項は調査中と明記して続報を求めます。発覚日時、検知方法、初期侵入推定日時、影響システム、当社データへのアクセス可能性、データ閲覧・取得・圧縮・転送・削除・暗号化の痕跡、再委託先や海外拠点の有無、保全済みログ、封じ込め措置、外部機関への相談状況、公表予定、今後の報告頻度を確認します。

保全要請関連ログ、証跡、メール、チャット、会議録、端末・サーバイメージ等について、削除、上書き、破棄を行わず、直ちに保全するよう具体的に依頼します。
Section 12

サプライチェーン攻撃の被害対応に関するFAQ

一般的な制度説明として、判断が分かれやすい点を整理します。

Q1. サプライチェーン攻撃を受けたら、まずネットワークを全部止めるべきですか。

一般的には、一律に全停止するのではなく、攻撃継続性、事業影響、証拠保全、拡大防止を踏まえて判断するとされています。侵害された接続、管理者アカウント、VPN、APIキー、SaaS連携などは直ちに停止・ローテーションする場面があります。ただし、医療、製造、物流、顧客サービスに重大影響が出る可能性もあるため、具体的な封じ込め範囲は専門家と確認する必要があります。

Q2. 委託先から漏えいは確認されていないと言われたら、安心してよいですか。

一般的には、確認されていないという説明だけで安全と判断するのは慎重であるべきとされています。ログがあるうえで痕跡がないのか、ログがないため確認できないのか、まだ調査していないのかで意味が変わります。ログの有無、調査範囲、専門家の関与、当社データへのアクセス可能性を確認する必要があります。

Q3. 攻撃されたのが委託先なら、公表や本人通知は委託先に任せればよいですか。

一般的には、委託先任せにせず、本人との関係、個人データの管理主体、契約上の役割、顧客期待、当局報告義務を踏まえて委託元自身の義務を検討する必要があります。委託先が文案作成を支援することはありますが、委託元としての説明責任が残る可能性があります。

Q4. データ持ち出しの証拠がない場合、漏えい等報告は不要ですか。

一般的には、不要と直ちに判断できるとは限りません。個人情報保護法上は、漏えい等のおそれも問題になります。サーバへの不正アクセス、マルウェア通信、専門家からの漏えい可能性指摘、ランサムウェアによる個人データの利用不能などがある場合、報告対象かを慎重に検討する必要があります。

Q5. 身代金を支払えば解決しますか。

一般的には、解決は保証されないとされています。復号鍵が機能しない、データが既に流出している、再攻撃される、制裁・犯罪収益・反社会的勢力対応の問題がある、保険の対象外となる可能性があります。支払判断は、技術、法務、保険、警察、経営、社会的影響を踏まえて検討する必要があります。

Q6. 調査が終わるまで公表しない方がよいですか。

一般的には、事案によって結論が変わります。全容解明を待つと、本人の二次被害防止、顧客の対策、投資家判断、社会的混乱防止に遅れが出る場合があります。一方、未確定情報を断定的に公表すると、誤情報、風評、責任認定、追加訂正のリスクがあります。判明済み事実と調査中事項を分け、段階的に公表・更新する方法が検討されます。

Q7. 中小企業でも高度な対応が必要ですか。

一般的には、規模に応じた対応が必要とされています。ただし、すべてを自社で抱える必要はありません。緊急連絡先、バックアップ、重要委託先台帳、契約通知先、外部専門家候補、警察・JPCERT/CC・IPA相談窓口、パスワード・MFA管理、ログ保存を最低限整備することが重要です。

Reference

参考文献・信頼できる情報源

公的機関・標準化機関等の資料名を中心に整理しています。

日本語の公的資料

  • IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2026」
  • 経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
  • 経済産業省「サイバーセキュリティ経営ガイドライン」改訂関連資料
  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • JPCERT/CC「インシデント対応とは?」
  • 内閣官房内閣サイバーセキュリティセンター、警察庁、総務省、経済産業省「サイバー攻撃被害に係る情報の共有・公表ガイダンス」
  • 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」
  • IPA「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」
  • IPA「中小企業の情報セキュリティ対策ガイドライン」
  • IPA「中小企業のためのセキュリティインシデント対応の手引き」
  • 警察庁「サイバー事案に関する通報等のオンライン受付」
  • JPCERT/CC「インシデント対応依頼」

国際的な標準・実務資料

  • NIST SP 800-161 Rev. 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations
  • NIST SP 800-218, Secure Software Development Framework (SSDF) Version 1.1
  • NIST Cybersecurity Framework 2.0 Quick-Start Guide: Cybersecurity Supply Chain Risk Management
  • NIST SP 800-61 Rev. 3, Incident Response Recommendations and Considerations for Cybersecurity Risk Management
  • CISA, Defending Against Software Supply Chain Attacks
  • CISA, StopRansomware Guide
  • European Commission, NIS2 Directive new rules on cybersecurity of network and information systems
  • U.S. Securities and Exchange Commission, Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure
  • ENISA Threat Landscape 2025
  • ENISA SBOM Adoption State of Play 2026