はじめに
近年、サプライチェーン全体を狙ったサイバー攻撃が急増しています。特にランサムウェア攻撃は、企業単体だけでなく、取引先や委託先を巻き込み、広範囲に影響を及ぼす重大な脅威です。こうした背景から、日本国内でも経済産業省が主導する「サプライチェーンのためのセキュリティ対策評価制度」(セキュリティ格付け)の整備が進んでおり、2026年10月にも制度が開始する予定です。
本記事では、サプライチェーンに関わる企業の情報システム担当者やリスク管理部門の方々に向けて、ある企業が公表したランサムウェア攻撃の調査報告を整理し、そこから見える多要素認証(MFA)の必要性と導入のヒントを解説します。
サプライチェーンのためのセキュリティ対策評価制度」(セキュリティ格付け)については以下の記事もご覧ください。
「サプライチェーンを守る新常識!セキュリティ対策評価制度を徹底解説」
https://www.optim.co.jp/optim-biz/blog/security-rating/
情シス・IT管理者目線で考えるサプライチェーン強化に向けたセキュリティ対策評価制度解説セミナー
2/19(木)にSCS評価制度に関するセミナーを開催予定しています。
「もっと知りたい!」という方へ、SCS評価制度の内容を解説し、★獲得の準備のためのセミナーのご案内もご用意しています。
お気軽にお申し込みください。
ランサムウェア攻撃による被害報告書の内容
2025年10月、ある企業がランサムウェア攻撃を受け、物流システムや社内システムが暗号化され、サービスが一時停止しました。さらに、顧客情報や取引先情報などが外部に流出する事態となり、影響は広範囲に及びました。
調査結果によると、攻撃者は認証情報を窃取し、ネットワークに侵入。権限を奪取した後、複数のサーバーにランサムウェアを展開し、バックアップファイルまで削除しました。特筆すべきは、委託先に付与していた管理者アカウントにMFAが適用されていなかったことが不正アクセスの一因とされている点です。
再発防止策として、同社は「全リモートアクセスへの多要素認証徹底」「権限管理の厳格化」「24時間監視体制」「EDR導入」「ランサムウェア対応型バックアップ構築」などを掲げています。また、NISTフレームワークに基づくセキュリティ強化も進めるとしています。
被害報告書からわかること
この事案から明らかになったのは、以下の3点です。
MFA未適用のリスク
例外的にMFAが適用されていなかった委託先アカウントが侵入経路となり、攻撃を許しました。
検知体制の不備
EDR未導入や監視不足により、侵害の早期発見ができず、被害が拡大しました。
バックアップ戦略の重要性
ランサムウェア攻撃を想定したバックアップ環境がなかったため、復旧に時間を要しました。
ここから、対策を行う場合はすべての機器やアカウントに漏れなく実施する必要があるということがわかります。
サプライチェーンセキュリティに対する多要素認証の重要性
サプライチェーンのセキュリティ対策評価制度では、★3(Basic:基礎的なシステム防御策と体制整備を中心とした最低限の対策)より上の段階からは、認証強化は必須項目です。特にMFAは、ID・パスワードに加え、スマートフォンや生体認証など複数要素で認証を行うことで、不正アクセスのリスクを大幅に低減します。
今回の事案では、MFA未適用の管理者アカウントが攻撃の突破口となりました。これは、サプライチェーン全体のセキュリティを考えるうえで、「委託先や取引先を含めたMFAの徹底」が不可欠であることを示しています。評価制度でも、MFAは「アクセス制御強化」の重要項目として位置づけられています。
多要素認証導入時のヒント
適用範囲を明確化する
- ステップ1
社内システム・クラウドサービス・VPNなど、外部からアクセス可能なシステムを洗い出す。 - ステップ2
管理者権限を持つアカウント、委託先アカウント、リモートワーク利用者を優先対象に設定。リスクの高い領域から導入を開始します。管理者アカウント、VPN接続、クラウドサービス、リモートワーク環境は最優先です。 - ステップ3
サプライチェーン評価制度の要件(「重要な情報を取扱うクラウドサービスでは、常に多要素認証を使用する」「多要素認証をサポートしていないクラウドサービスを一覧化する」)を確認し、対象範囲を契約書に反映。委託先や外部パートナーも対象に含めることが重要です。
ユーザビリティを考慮
- ステップ1
利用者のデバイス環境を調査(スマホ利用率、ハードウェアトークンの配布可否)。 - ステップ2
認証方式を比較(ワンタイムパスワード、スマホアプリ、FIDOキー(パスキー)、生体認証)し、セキュリティ強度と操作性のバランスを検討。利用者の負担を減らすため、スマホアプリやプッシュ通知型認証を採用すると導入がスムーズです。高度なセキュリティが必要な場合は、生体認証やFIDO2対応キーの導入も検討してください。 - ステップ3
パイロット導入でユーザビリティを検証し、最終方式を決定。
委託先との契約に盛り込む
- ステップ1
契約書に「MFA適用義務」を追加し、違反時のアクセス制限やペナルティを明記。 - ステップ2
委託先に対して導入ガイドラインを提供し、設定確認を定期的に実施。委託先がMFAを導入していない場合、アクセス権を制限するなどの運用ルールを設定します。 -
ステップ3
監査項目に「MFA設定状況」を追加し、評価制度に対応。
この点については、セキュリティ格付けで必要な★を獲得していれば、都度確認しなくて済むようになることが想定されています。
教育と周知を行う
- ステップ1
社内研修で「なぜMFAが必要か」「設定方法」を説明。「なぜMFAが必要なのか」「どのように設定するのか」を分かりやすく説明することで、現場での抵抗感を減らします。 - ステップ2
動画やマニュアルを用意し、委託先にも共有。MFAの重要性を理解してもらうため、従業員や委託先向けに研修やガイドラインを提供します。 - ステップ3
FAQやサポート窓口を設置し、導入時の混乱を防止。
IDaaSの活用
多要素認証のための製品として、IDaaS製品を利用することもおすすめします。IDaaS(Identity as a Service)は、クラウドベースで認証とアクセス管理を一元化できるサービスです。
IDaaSでは、複数の業務アプリケーションやクラウドサービスに対して統合的に多要素認証を適用でき、管理の手間を大幅に削減できます。また、シングルサインオン(SSO)機能により、認証に多要素を用いつつも一本化することで、ユーザー体験を損なうことなく強固な認証を実現できる点も魅力です。さらに、クラウドサービスであるため、オンプレミス環境での複雑な設定やメンテナンスを避けられ、運用負荷を軽減できることも大きなメリットです。こうした特徴から、IDaaSは多要素認証の導入をスムーズに進めるための基本的なセキュリティ基盤といえるでしょう。
オプティムでは、OPTiM Biz Premiumという情シス業務を効率化する包括的なサービスを提供しています。IDaaSやMDM、SaaS管理の機能を含み、多要素認証やシングルサインオン(SSO)機能はもちろん、認証端末外からのアクセス制御などを行うことができ、多要素認証に加え、今回問題となった「誰に」「どの」権限を付与するのかを徹底的に管理することができます。
おわりに
ランサムウェア攻撃は、単なる技術的問題ではなく、サプライチェーン全体の信頼性を揺るがす経営課題です。今回の事案は、MFA未適用という基本的なセキュリティ対策の不備が重大な結果を招いた典型例です。サプライチェーンセキュリティ評価制度への対応を進める企業は、まずは多要素認証(MFA)が徹底できているかの確認を行いましょう。
<参考>
「OPTiM Biz Premium あらゆる情シス業務を効率化・自動化する統合サービス」
https://www.optim.co.jp/optim-biz-premium/
「OPTiM ID+ IDにセキュリティをプラスする」
https://www.optim.co.jp/optim-id-plus/
このブログの免責事項について
お問い合わせ・お見積もり
無料資料ダウンロード