業種別サプライチェーンセキュリティ対策ガイド—クリニック・士業・不動産・薬局の総まとめ
IT担当者がいない・兼任で困っている企業へ
月額8万円〜、情シス・IT部門・CTO機能を丸ごと外注できます
サプライチェーンセキュリティとは何か
サプライチェーンセキュリティとは、自社が直接使うシステムだけでなく、ソフトウェアベンダー・クラウドサービス・外部委託先など「つながるすべての取引先」を含めたセキュリティ管理の考え方です。
かつてのサイバー攻撃は、標的の組織を直接狙うものが主流でした。しかし近年、攻撃者は標的が使うソフトウェアやSaaSのベンダーを先に攻撃し、そこからアップデートやサポートツールを経由して標的に侵入する「迂回路」を使うようになっています。これがサプライチェーン攻撃です。
- 直接攻撃:標的のシステムを直接ターゲットにする
- サプライチェーン攻撃:ベンダー・SaaS・取引先を経由して迂回侵入する
後者は発見が遅れやすく、セキュリティ対策が万全な組織でもベンダー経由で被害を受けるため、対策の難度が高いとされています。
なぜ今、あらゆる業種で対策が必要なのか
2017年のNotPetyaウイルス、2020年のSolarWinds事件、2021年のKaseya VSA事件など、大規模なサプライチェーン攻撃が世界中で相次いでいます。これらの事件では、標的は大企業だけでなく、そのベンダーを利用する中小企業・医療機関・法律事務所まで広範囲に巻き込まれました。
国内でも2021〜2022年にかけて医療機関へのランサムウェア攻撃が複数発生し、「ベンダー経由の感染」が確認されています。業種を問わず、外部のシステムやサービスに依存して業務を行うすべての組織が、サプライチェーンリスクにさらされています。
業種別リスクの違いと対策—5業種の比較
サプライチェーンセキュリティのリスクは業種によって異なります。守るべき情報の性質・関連する法的義務・特有の攻撃経路が違うため、業種ごとの視点で対策を考えることが重要です。以下では5つの業種について、それぞれのリスクと対策記事をご紹介します。
医療クリニック
項目 | 内容 |
|---|---|
守るべき情報 | 患者の診療情報・個人情報 |
主な法的義務 | 2023年改正医療法・厚労省ガイドライン第6.0版 |
特有のリスク | 医療機器のファームウェア・電子カルテベンダー経由の感染 |
最大の影響 | 診療停止・患者データ漏洩 |
2023年改正医療法により、院長がサイバーセキュリティ対策の実施責任者として義務を負うことが明確化されています。医療機器・電子カルテ・予約管理SaaSのベンダー評価が急務です。
→ 詳細は「クリニックのサプライチェーンセキュリティ対策」をご覧ください。
税理士事務所
項目 | 内容 |
|---|---|
守るべき情報 | クライアントの財務データ・マイナンバー(特定個人情報) |
主な法的義務 | 税理士法第38条(守秘義務)・マイナンバー法 |
特有のリスク | 会計ソフト・e-Tax接続環境・クライアントメール経由の感染 |
最大の影響 | 申告期限前の業務停止・懲戒処分リスク |
税理士事務所は数十〜数百社分の財務情報とマイナンバーを一括管理するため、一度の攻撃で広範な被害が生じます。確定申告期・決算期前を狙ったランサムウェア攻撃が増加しています。
→ 詳細は「税理士事務所が狙われる理由—財務データ・マイナンバーを守るサプライチェーンセキュリティ対策」をご覧ください。
弁護士事務所
項目 | 内容 |
|---|---|
守るべき情報 | 訴訟戦略・和解条件・M&A未公開情報・依頼者秘密 |
主な法的義務 | 弁護士法第23条・日弁連情報セキュリティ規程 |
特有のリスク | リーガルテック・電子契約サービス・依頼者メール経由の感染 |
最大の影響 | 訴訟結果への影響・懲戒処分・弁護士資格の停止 |
弁護士事務所はパナマ文書事件が示すように、国家支援型の攻撃グループの標的にもなります。M&A・企業法務など金額的・社会的影響の大きい案件を抱える事務所は特に注意が必要です。
→ 詳細は「弁護士事務所を狙うサイバー攻撃—依頼者秘密と訴訟戦略を守るセキュリティ対策」をご覧ください。
不動産業
項目 | 内容 |
|---|---|
守るべき情報 | 顧客の住所・収入・資産情報・取引情報 |
主な法的義務 | 個人情報保護法・宅地建物取引業法 |
特有のリスク | BEC(ビジネスメール詐欺)・レインズ接続環境・IT重説システム |
最大の影響 | 振込先偽装による数千万〜数億円規模の金銭被害 |
不動産業では、1件の取引で動く金額が大きいためBECの被害額が突出して高くなります。「振込先変更の連絡はメールだけで受け付けない」という運用ルールの徹底が最大の防御策です。
→ 詳細は「不動産業を狙うサイバー攻撃—個人情報・取引情報を守るセキュリティ対策」をご覧ください。
調剤薬局
項目 | 内容 |
|---|---|
守るべき情報 | 患者の処方情報・服薬歴・麻薬向精神薬の管理データ |
主な法的義務 | 薬機法・厚労省ガイドライン・個人情報保護法 |
特有のリスク | 電子処方箋システム・調剤レセコンベンダー・複数医療機関との連携 |
最大の影響 | 調剤業務の完全停止・処方情報改ざんによる患者への健康被害 |
調剤薬局は複数医療機関の処方情報が集まる情報ハブです。2023年運用開始の電子処方箋システムにより、マイナポータルとの連携が加わり、サプライチェーンリスクがさらに拡大しています。
→ 詳細は「調剤薬局が直面するサプライチェーンセキュリティ—電子処方箋・服薬情報を守る対策」をご覧ください。
業種を問わず共通して取り組むべき5つの対策
業種ごとにリスクの性質は異なりますが、サプライチェーンセキュリティの基本対策には共通点があります。以下の5つはどの業種でも今すぐ取り組める対策です。
①すべての外部ベンダー・SaaSをリストアップし評価する
まず自社が使っているすべての外部システム・SaaSをリストアップします。「誰が・何の目的で・どのデータにアクセスできるか」を整理し、ISO 27001などのセキュリティ認証取得状況・インシデント対応SLA・データ保存場所を確認することが出発点です。
②多要素認証(MFA)をすべてのシステムに設定する
会計ソフト・メール・業務システムのすべてに多要素認証を設定することは、最もコストパフォーマンスの高いセキュリティ対策のひとつです。パスワードが漏洩しても、MFAがあれば不正ログインを防げます。設定できるのに使っていないシステムがあれば、今すぐ有効化してください。
③ソフトウェアのアップデートを速やかに適用する
既知の脆弱性を放置することは、解錠したまま玄関を開けておくのと同じです。業務システム・OS・ブラウザのアップデートは速やかに適用するルールを整備してください。ただし医療機器など認証が必要なシステムは、ベンダーに確認してから適用することを推奨します。
④アクセス権限を最小化し、退職者のアカウントを即日削除する
スタッフが業務上必要のないデータにアクセスできる状態は、内部漏洩リスクを高めるだけでなく、アカウントが乗っ取られた場合の被害も拡大させます。役職・担当業務に応じてアクセス権限を絞り、退職・異動時のアカウント削除を即日行う運用ルールを定めてください。
⑤定期的なバックアップと業務継続計画(BCP)を整備する
ランサムウェアに感染した場合、バックアップがあれば身代金を払わずに復旧できます。週1回以上のオフラインバックアップと、システム停止時の業務継続手順(BCP)の文書化を行ってください。バックアップは定期的に復元テストを実施し、実際に使えることを確認することが重要です。
バクティーなら、業種を問わずITセキュリティをまとめてサポートします
バクティーは、医療・士業・不動産・薬局など幅広い業種の中小企業のITセキュリティ対策を月額固定でサポートします。ベンダーのリスク評価・多要素認証の設定・アクセス権限の棚卸し・バックアップ運用の構築まで、専任担当者がリモートで伴走します。
「自社のセキュリティ体制を一度整理したい」「どこから手をつければいいかわからない」という方は、まずは30分の無料相談からお気軽にご連絡ください。
まとめ
- サプライチェーン攻撃は、ベンダーやSaaSを経由して侵入するため、自社だけのセキュリティ対策では不十分です
- 業種ごとに守るべき情報・法的義務・攻撃経路が異なるため、業種の特性に合わせた対策が必要です
- MFAの設定・ベンダー評価・アップデート管理・アクセス権限の最小化・バックアップは、業種を問わず今すぐ取り組める共通対策です
- 各業種の詳細な対策は、業種別の専門記事をご参照ください
Next Step
ITの課題、まずは無料でご相談ください
情シス代行・DX推進・CTO代行など、貴社の状況に合わせた最適なプランをご提案します。相談・見積もりは完全無料です。
✓ 押し売りなし ✓ 1営業日以内に連絡