2024年にIPAより発表された『情報セキュリティ10大脅威2024』において、サプライチェーン攻撃が組織向け脅威として2年連続で2位に挙げられました。

また『サイバーセキュリティ経営ガイドライン』（IPA）においても、「経営者が認識すべき3原則」の一つに、「自社のみならず、サプライチェーンの国内外のビジネスパートナーやシステム管理等を含むあらゆる委託先等、サプライチェーンの一端を担う企業として全体を意識し、総合的なセキュリティ対策を徹底することが必要である」と記載されており、サプライチェーン攻撃対策が必須となっています。

順位	情報セキュリティ10大脅威2024 [組織]
1位	ランサムウェアによる被害
2位	サプライチェーンの弱点を悪用した攻撃 2019年以来6年連続でランクインしており 2年連続で2位に挙げられています
3位	内部不正による情報漏えい等の被害
4位	標的型攻撃による機密情報の窃取
5位	修正プログラムの公開前を狙う（ゼロデイ攻撃）
6位	不注意による情報漏えい等の被害
7位	脆弱性対策情報の公開に伴う悪用増加
8位	ビジネスメール詐欺による金銭被害
9位	テレワーク等のニューノーマルな働き方を狙った攻撃
10位	犯罪のビジネス化（アンダーグラウンドサービス）

1. ※出典
   IPA『情報セキュリティ10大脅威2024』：情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
   IPA『サイバーセキュリティ経営ガイドライン』：サイバーセキュリティ経営ガイドラインVer3.0

標的となる企業に直接攻撃するのではなく、
セキュリティレベルが低い取引先企業や子会社を通じて不正に侵入するサイバー攻撃のこと

1. 取引先を踏み台にするケース

また、メール情報などを盗まずに、直接取引先企業や関連企業にランサムウェアを送り、感染させることによって、サプライチェーンが稼働しなくなるようにする攻撃もあります。

2. ソフトウェア開発元やMSP（企業システムの運用・監視等を請け負う事業者）等を攻撃し、標的を攻撃するための足掛かりとするケース

ソフトウェアのアップデートにウイルスを仕込み、アップデートを適用した利用者にウイルスを感染させるなどの攻撃を行います。

3. 委託先から情報を盗むケース

システム開発を委託していたり、顧客情報を取引先企業に委託している場合に、その委託先企業を攻撃して情報を盗み取ります。
盗み取った情報を質にして、金銭などを脅し取ることもあります。

対策方法の1つが、重要情報そのものを守る「IRM」製品

IRM（Information Rights Management、情報権利管理）とは、電子文書やデジタルコンテンツのアクセス権を細かく制御し、特定のユーザーやグループのみが閲覧・編集・印刷などの操作を行うことができるようにする技術です。

IRMにより、第三者による重要情報の閲覧を防止することができます。

パスワード付Zip圧縮ファイルや、一般的なIRM製品では、社内や受け渡し時だけを守り、社外や受け渡し後はコントロールできません。
FinalCodeを導入すると、ファイル閲覧者やファイル操作を指定でき、かつ手元を離れたファイルに対してもコントロールするため、自社だけでなく取引まで含めた対策が可能です。
取引先に渡したファイルの監督・監査や、作業終了後のデータ廃棄についても対応できます。

「サプライチェーン攻撃」以外にも、FinalCodeが防ぐ情報漏えいリスク

• 標的型攻撃
• 内部不正
  持ち出し
• 不注意による
  漏えい
• 間接(二次)
  漏えい
• 誤送信
• 紛失/盗難

「FinalCode」の主な機能