2025年10月24日 各国政府と民間の有識者で構成される「Counter Ransomware Initiative(CRI)」は、サプライチェーンに対するランサムウェアの脅威に組織横断で備えるための新たな指針「Guidance for Organisations to Build Supply Chain Resilience Against Ransomware(以下、ガイダンス)」を公表しました。
目次
概要
ガイダンスは、組織のサプライチェーン全体で
①脅威認識の向上
②基本的なサイバー衛生(サイバーハイジーン)の徹底
③調達・リスク評価へのサプライチェーン脆弱性の反映を促す
ことを目的にしています。
CRIとその民間アドバイザリーパネル(MicrosoftやArctic Wolfなどで構成)が共同で策定し、各国の法令や既存のナショナルガイダンスを置き換えるものではない、推奨事項として位置づけられています。
公表文は、2024年にCRIが公開した「インシデント発生時の組織向けガイダンス」を土台に、供給網に的を絞って補強した形だと説明しています。
背景:単一のベンダーから“上流・下流”へ広がる被害連鎖
ガイダンスはまず、ランサムウェアが業務の継続や重要サービスに重大な支障を与える「世界的な主要脅威」であり、その直接コストは平均で約444万ドルに(約6億5,637万円)達するとの推計を示します。
さらに、流出データの暴露による追加の金銭要求(いわゆる二重・三重恐喝)や、個人情報保護法制への抵触、レピュテーション低下といった間接コストも指摘。攻撃者は供給網の弱点を踏み台に、単一のサプライヤーから取引先ネットワークへ上流・下流に横展開する手口を常套化させていると警鐘を鳴らします。
実例として、2024年に英国NHSの複数病院へ波及した病理サービス会社Synnovisへの攻撃を挙げ、最も影響を受けた2病院だけでも外来1万0152件、予定手術1710件に影響が及んだと整理しています。
サプライチェーンに固有のリスクとしては、
①MSP等の第三者サービスが突破口になる
②相互接続・信頼接続の結果として供給先が高い特権を持つ
③機密データの委託・共有管理が不十分——の3点を中核に、
供給網の「集中度が高いこと(少数の業者への依存)」「可視性の低さ」「認証・監査の仕組みの不足」が被害を拡大させる構造的要因だと整理。適切な分散(ダイバシフィケーション)や可視化・アシュアランスの確立を求めています。
4段階のアプローチ:Why/Who/What/Reviewで供給網の耐性を作る
ガイダンスは各組織が供給網のセキュリティ態勢を高めるための実行手順を、次の4ステップで提示します。
Step 1:なぜ(Why)
グローバルなデジタル経済では供給網への依存が高まり、それ自体が攻撃者にとって魅力的な標的になっている現実を前提化。重要インフラや基幹システムの波及影響を抑制するためにも、契約要件などを通じてサプライチェーンの設計段階にサイバーセキュリティを組み込む必要性を強調します。
Step 2:誰が(Who)
自社が委託・連携するサプライヤーの棚卸し(インベントリ化)と、保持・処理する情報資産の重要度評価を実施。
MFAの有無、パッチ運用やバックアップ、認証取得、過去の侵害事例、下請けの利用、IR・復旧計画、サイバー保険等を含む成熟度評価を求めています。
同時に、各サプライヤーがアクセス可能なネットワークとシステムのマッピングを行い、インシデント時の封じ込め・復旧スピードを高める「状況認識(SA)」を整備することを推奨しています。
Step 3:何を(What)
調達・委託の各局面で、リスク水準に見合ったセキュリティ統制を満たすサプライヤーを選定するリスクベースの方針に転換。
とくに「どの業者にも最低限求めるべき5つの技術対策」として、
①ネットワーク分割と保護、
②安全な設定(不要ソフトの除去等)、
③更新管理(パッチ適用)、
④ユーザーアクセス制御(MFA等)、
⑤マルウェア対策(EDR等)を「基本的サイバーハイジーン」として明示し、
加えて「本番系と分離したバックアップ」を回復力の要として位置づけています。
国内外のスキーム(英Cyber Essentials/シンガポールCyber Essentials・Cyber Fundamentals、独BSIのTop 10など)も、
基礎統制の実装を示す手段として参照可能だとしています。高リスク業務では、シンガポールのCyber Trust(5段階)やISO/IEC 27001等、より高い基準の適用も推奨されます。
Step 3の実務:期待水準の明確化・契約への組込み・外部保証・保険
調達仕様やRFPで最低要件(予防・回復の双方)を明文化し、契約には「ランサムウェア耐性の実証(証明書・業務継続/復旧計画と定期演習)」「監査権(Right to Audit)」「インシデント通知義務」「不履行ペナルティ」などを組み込みます。
アシュアランスは独立監査や第三者適合性評価(各国のサイバー技術機関による制度含む)で担保。
サイバー保険はリスク移転と予防改善の両面で有用だが、サイバーハイジーンの代替にはならないという整理です。
Step 4:見直し(Review)
攻撃手口の高度化を踏まえ、事後検証(Lessons Learned)や演習の定常化、脅威情報・ベストプラクティスの共有、契約や社内規程のアップデートを継続。業界横断の「サプライヤー・サイバーセキュリティ・フォーラム」など、集合知を高める場づくりも推奨しています。
「完全無欠」は存在しない——それでも被害確率と影響は下げられる
ガイダンスは結語で、「どの組織もサプライチェーン・リスクを完全に排除することはできない」としつつも、上記4ステップの実装により発生確率と影響度を有意に低減でき、ひいてはエコシステム全体のレジリエンス向上に資する、と総括しています。
なぜ今「サプライチェーン対策」なのか
近年の大型ランサムウェア事案では、被害の起点が必ずしも自社とは限らず、MSP(マネージドサービスプロバイダ)やクラウド、物流、医療の外部委託先・共同利用先が侵入口となるケースが目立ちます。
ガイダンスは技術対策だけに留まらず、「調達・契約」「サプライヤー評価」「事後の検証・共有」という実務の流れを一体化し、経営・法務・調達・現場IT/OTを巻き込んだ全社対応を求めています。








