この記事は、サイバーセキュリティ基礎講座の第11回です。
前回は、【第10回】情報漏洩とは何か|なぜ起きるのかと被害を防ぐ基本をわかりやすく解説で、情報が外へ流れ、詐欺や不正ログインなど次の被害につながる構造を整理しました。
今回は、取引先、委託先、クラウド、ソフトウェアなどのつながりを悪用するサプライチェーン攻撃を扱います。
シリーズ全体は、【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶからご覧ください。
「自社のセキュリティ対策はしっかりしている。」
そう思っていても、本当にそれだけで安全なのでしょうか?
現代の企業や組織は、一社だけで動いているわけではありません。
- システム開発会社
- クラウドサービス
- 業務委託先
- 取引先
- 子会社
- ソフトウェア提供元
- 決済代行会社
- コールセンター
- 保守運用会社
こうした多くの相手とつながっています。
そのつながりのどこかが攻撃されると、自社にも影響が及ぶことがあります。
これが、今回扱う サプライチェーン攻撃 です。
サプライチェーン攻撃とは、標的となる組織を直接狙うのではなく、その組織とつながっている取引先、委託先、ソフトウェア、クラウドサービスなどを経由して被害を広げる攻撃です。
IPA「情報セキュリティ10大脅威 2026」では、組織向け脅威の2位に「サプライチェーンや委託先を狙った攻撃」が挙げられています。
2026年版は2026年1月29日に公開され、2025年に発生した社会的影響の大きい事案などをもとに選定されています。(特許庁)
今回は、「サプライチェーン攻撃とは何か」を見ていきます。
「なぜ直接狙わず、取引先や委託先を狙うのか?」
「一つの会社の弱点が、なぜ多くの組織に広がるのか?」
「ソフトウェアやクラウドサービスは、どう攻撃の入口になるのか?」
「企業やあなたは、何を確認すればよいのか?」
こうした問いを、つながりの中で被害が広がる構造として整理していきます。
第1章 サプライチェーン攻撃とは何か
サプライチェーン攻撃とは、組織の外部とのつながりを悪用して、侵入や情報漏洩、業務停止などを狙う攻撃です。
ここでいうサプライチェーンは、物流だけを意味しません。
サイバーセキュリティでは、情報システムや業務を支えるつながり全体を指します。
- 取引先
- 委託先
- 子会社
- システム開発会社
- 保守運用会社
- クラウドサービス
- SaaS
- ソフトウェア提供元
- オープンソース部品
- 外部API
- 決済代行
- データ分析ツール
つまり、サプライチェーン攻撃とは、「自社とつながる誰か」や「自社が使う何か」を経由して攻撃されることです。
CISAの「Defending Against Software Supply Chain Attacks」は、ソフトウェアサプライチェーン攻撃への予防、緩和、回復力を高めるための推奨事項や重要な手順をまとめた資料として公開されています。
ここからも、ソフトウェアやサービスのつながりが、現代の重要な防御対象になっていることがわかります。(CISA)
サプライチェーン攻撃の基本構造は、次のように考えるとわかりやすいです。
標的企業を直接攻撃する
↓
それが難しい場合、つながっている取引先や委託先を狙う
↓
ソフトウェアやクラウドサービスを経由する
↓
正規の関係や信頼を悪用する
↓
標的企業へ影響を広げる
サプライチェーン攻撃の怖さは、攻撃が「正規のつながり」に紛れ込むことです。
見知らぬ攻撃者からの通信なら警戒できます。
ですが、普段から使っているサービス、取引先、委託先、ソフトウェア更新、共有フォルダ、業務連携から来るものは、信頼されやすいのです。
つまり、サプライチェーン攻撃は、技術だけでなく、信頼関係を悪用する攻撃なのです。
第2章 なぜ直接狙わず、取引先や委託先を狙うのか
攻撃者がサプライチェーンを狙う理由は、標的を直接攻撃するよりも入りやすい場合があるからです。
大企業や重要機関は、セキュリティ対策を強化しています。
- 多要素認証
- 監視
- ログ管理
- EDR
- ゼロトラスト
- 権限管理
- 脆弱性管理
こうした対策が整っている場合、直接侵入するのは簡単ではありません。
そこで攻撃者は、周辺を見ます。
- 取引先はどうか
- 委託先はどうか
- 開発会社はどうか
- 保守会社はどうか
- 子会社はどうか
- 使っているクラウドサービスはどうか
- ソフトウェア更新経路はどうか
標的企業そのものが強くても、つながっている相手の対策が弱ければ、そこが入口になる可能性があります。
IPAの2026年版でも、「サプライチェーンや委託先を狙った攻撃」は組織向け脅威の2位に位置づけられています。
順位の高低だけが対策の優先順位ではありませんが、少なくとも国内の組織にとって継続的に重要な脅威であることは読み取れます。(情報セキュリティ10大脅威 2026)
サプライチェーン攻撃では、次のような考え方が重要になります。
- 自社だけが強くても十分ではない
- 委託先が入口になることがある
- 取引先のアカウントが悪用されることがある
- ソフトウェア更新が悪用されることがある
- クラウドや外部サービスの設定が影響することがある
- 信頼している相手ほど、攻撃が紛れ込みやすい
つまり、サプライチェーン攻撃は「弱い会社が悪い」という話ではありません。
現代の組織が、多くの相手とつながって動いているからこそ起きる問題です。
つながりが力になる一方で、つながりがリスクにもなる。
ここが、サプライチェーン攻撃の本質なのです。
第3章 サプライチェーン攻撃はどこから入り込むのか
サプライチェーン攻撃の入口は、一つではありません。
大きく見ると、次のような入口があります。
- 取引先のアカウント
- 委託先のシステム
- 保守運用会社のリモート接続
- ソフトウェア更新
- クラウドサービス
- SaaS連携
- 外部API
- オープンソース部品
- 開発環境
- 子会社や関連会社
- 共有フォルダ
- メールやチャットでの業務連絡
たとえば、委託先のアカウントが乗っ取られた場合。
そのアカウントが、自社のシステムやクラウドにアクセスできるなら、そこから被害が広がる可能性があります。
保守会社が使うリモート接続が侵害された場合。
本来は保守のための入口が、攻撃の入口になることがあります。
ソフトウェア更新の経路が悪用された場合。
利用者は正規の更新だと思って受け取るため、広い範囲に影響が出る可能性があります。
NIST SP 800-161 Rev.1は、サイバーセキュリティ・サプライチェーンリスク管理について、組織がサプライチェーン全体のリスクを識別、評価、低減するためのガイダンスを提供する資料です。
製品やサービスのリスク評価、方針、計画などを組織のリスク管理に統合する考え方が示されています。(NISTコンピュータセキュリティリソースセンター)
ここで大切なのは、サプライチェーン攻撃を「取引先が攻撃される話」だけで終わらせないことです。
実際には、次のような複数の経路が絡みます。
- 人のつながり
- 会社同士の契約
- システム連携
- アカウント権限
- ソフトウェア部品
- クラウド設定
- リモート接続
- データ共有
サプライチェーン攻撃は、一本の道から来るとは限りません。
業務のつながりそのものが、攻撃の経路になることがあるのです。
第4章 ソフトウェアサプライチェーンとは何か
サプライチェーン攻撃の中でも、特に重要なのがソフトウェアサプライチェーンです。
私たちが使うソフトウェアは、一社がすべてをゼロから作っているわけではありません。
多くの場合、さまざまな部品やサービスでできています。
- オープンソースライブラリ
- 外部パッケージ
- 開発ツール
- ビルド環境
- CI/CD
- クラウドサービス
- API
- ソフトウェア更新機能
- プラグイン
- 外部SDK
つまり、一つのアプリやサービスの裏側には、多くの部品と提供者がいます。
そのどこかに問題があると、利用者側にも影響する可能性があります。
CISAは、ソフトウェアサプライチェーン攻撃に対する防御資料を公開し、予防、緩和、回復力を高めるための重要な手順を示しています。
これは、ソフトウェアの開発・配布・利用の流れ全体を防御対象として見る必要があることを示しています。(CISA)
たとえば、次のような問題が起きることがあります。
- 使っているライブラリに脆弱性がある
- 不正なパッケージを取り込んでしまう
- 開発環境の認証情報が盗まれる
- 更新配布の仕組みが悪用される
- 外部APIや連携サービスが侵害される
- プラグインや拡張機能が悪用される
ここで重要なのは、利用者が見ている画面だけではリスクが見えにくいことです。
アプリは普通に動いている。
サービスもいつも通りに見える。
更新も正規に見える。
ですが、裏側の部品や配布経路に問題があると、広い範囲に影響が出ることがあります。
- ソフトウェアは部品の集合である
- 部品にも提供者がいる
- 更新経路にも信頼が必要である
- 開発環境も守る必要がある
- 利用者側だけでは見えないリスクがある
ソフトウェアサプライチェーン攻撃は、現代のソフトウェアが便利で複雑になったからこそ生まれるリスクなのです。
第5章 一つの弱点が、なぜ多くの組織に広がるのか
サプライチェーン攻撃の大きな特徴は、被害が連鎖しやすいことです。
一つの会社が攻撃されただけなら、その会社だけの問題に見えるかもしれません。
ですが、その会社が多くの顧客、取引先、利用者、システムとつながっていたらどうでしょうか?
被害は広がります。
- 委託先が攻撃される
- 委託元の情報が漏れる
- 取引先にも通知が必要になる
- 顧客対応が発生する
- 業務が止まる
- 連携しているサービスが止まる
- 別の会社にも調査が必要になる
- 信用が傷つく
これは、前回の情報漏洩ともつながります。
情報は、一社の中だけにあるわけではありません。
委託先、クラウド、外部サービス、取引先との間を動いています。
また、ランサムウェアともつながります。
ある委託先のシステムが止まれば、委託元の業務にも影響することがあります。
あるソフトウェアやクラウドサービスが止まれば、多くの利用企業に影響することもあります。
2026年3月31日に経済産業省が公表したサイバーインフラ事業者向けのガイドライン案では、CISAのソフトウェアサプライチェーン攻撃対策やNIST SP 800-161などの標準・ガイドラインが参照されています。
これは、日本国内でも、事業者間のつながりや供給網を含めたセキュリティ対策が重要視されていることを示しています。(経済産業省)
サプライチェーン攻撃の被害は、次のように広がります。
一社の弱点
↓
取引先への影響
↓
委託元への影響
↓
顧客への影響
↓
サービス停止
↓
情報漏洩
↓
信用低下
↓
社会への影響
つまり、サプライチェーン攻撃は「どこかの会社が攻撃された」というだけの話ではありません。
つながりの中で、被害が移動する攻撃なのです。
第6章 委託先や取引先を見るときのポイント
サプライチェーン攻撃を防ぐには、委託先や取引先との関係を見直す必要があります。
ただし、これは「取引先を疑え」という意味ではありません。
大切なのは、信頼を感情ではなく、仕組みで支えることです。
見るべきポイントは、次のようなものです。
- どの情報を渡しているのか
- どのシステムへアクセスできるのか
- どのアカウントを使っているのか
- 多要素認証は設定されているのか
- アクセス権限は必要最小限か
- 委託終了後に権限を削除しているか
- インシデント時の連絡先は決まっているか
- 契約上の責任範囲は明確か
- 再委託先まで把握できているか
- セキュリティ対策状況を確認しているか
IPA「情報セキュリティ10大脅威 2026」の組織編プレゼンスライドでは、サプライチェーンや委託先を狙った攻撃への対策として、信頼できる委託先・取引先・サービスの選定、契約内容の確認、委託先組織の管理、セキュリティ評価サービスの活用などが挙げられています。(特許庁)
ここで大切なのは、「契約したら終わり」ではないことです。
委託先との関係は、契約時だけでなく、運用中にも変わります。
- 担当者が変わる
- 使うサービスが変わる
- アクセス権限が増える
- 再委託が発生する
- クラウド設定が変わる
- システム更新が行われる
そのため、定期的な確認が必要になります。
- 委託前に確認する
- 契約で責任範囲を決める
- 運用中も見直す
- 権限を定期的に確認する
- 事故時の連絡体制を決める
- 委託終了後にアクセスを止める
サプライチェーンの信頼は、一度作って終わりではありません。
継続的に確認して、守るものなのです。
第7章 サプライチェーン攻撃とゼロトラストの関係
サプライチェーン攻撃を考えると、ゼロトラストの重要性が見えてきます。
ゼロトラストでは、「社内だから安全」「一度接続したから安全」と決めつけません。
これは、取引先や委託先にも関係します。
たとえば、委託先のアカウントが自社システムへアクセスできる場合。
- そのアカウントが本当に本人のものか?
- その端末は安全か?
- そのアクセスは必要か?
- その権限は広すぎないか?
- 普段と違う操作はないか?
ここを確認する必要があります。
サプライチェーン攻撃では、正規のアカウントや正規の関係が悪用されることがあります。
そのため、「取引先だから通す」「委託先だから広く許可する」では危険です。
ゼロトラスト的に見るなら、次のようになります。
- 誰がアクセスしているのか?
- どの組織のアカウントなのか?
- どの端末からアクセスしているのか?
- どのデータにアクセスする必要があるのか?
- どの期間だけ必要なのか?
- 異常な動きはないか?
- 侵害されたとき、どこで止められるのか?
NIST SP 800-161 Rev.1は、サイバーサプライチェーンリスク管理を組織のリスク管理活動へ統合する考え方を示しています。
これは、サプライチェーン対策が単なる調達部門の確認ではなく、ID、権限、リスク評価、運用管理まで含む組織的な取り組みであることを示しています。(NISTコンピュータセキュリティリソースセンター)
つまり、サプライチェーン攻撃に備えるには、信頼関係を否定するのではなく、信頼を確認できる形にする必要があります。
- 信頼するが、確認する
- 必要な範囲だけ許可する
- 異常に気づけるようにする
ここに、ゼロトラストとのつながりがあるのです。
第8章 個人にもサプライチェーン攻撃は関係あるのか
サプライチェーン攻撃は、企業や組織の話に見えるかもしれません。
たしかに、主な被害対象は企業、官公庁、医療機関、教育機関、重要インフラなどです。
ですが、個人にも関係があります。
理由は、私たちの生活が多くのサービスに支えられているからです。
- 通販
- 銀行
- 決済
- SNS
- クラウド
- スマホアプリ
- 医療予約
- 行政サービス
- 学校システム
- 交通サービス
これらのサービスは、さらに別の会社やシステムとつながっています。
- 決済代行
- 配送会社
- クラウド事業者
- メール配信サービス
- 分析ツール
- 認証サービス
- アプリ開発会社
- 外部API
もし、そのどこかで情報漏洩やサービス停止が起きれば、あなたにも影響します。
たとえば、次のような形です。
- 個人情報が漏れる
- フィッシングメールが増える
- サービスが一時停止する
- 決済や予約が使えなくなる
- 不正ログインのリスクが上がる
- パスワード変更が必要になる
- 公式から注意喚起が届く
個人としてできることは、企業のサプライチェーン全体を直接管理することではありません。
ですが、被害を広げにくくすることはできます。
- パスワードを使い回さない
- 多要素認証を設定する
- 公式アプリや公式サイトから確認する
- 情報漏洩のお知らせを確認する
- 不要なアカウントを削除する
- 利用履歴を確認する
- 不審なメールやSMSを急いで開かない
サプライチェーン攻撃は、遠い企業間の問題ではありません。
あなたが使うサービスの裏側で起きる可能性がある問題なのです。
第9章 企業が今日から確認すべきこと
サプライチェーン攻撃への対策は、大企業だけのものではありません。
中小企業、医療機関、学校、自治体、NPO、個人事業者にも関係します。
まず必要なのは、自分たちが何とつながっているかを把握することです。
- どの委託先に何を任せているか?
- どの取引先とデータを共有しているか?
- どのクラウドサービスを使っているか?
- どのソフトウェアを使っているか?
- どの外部アカウントがアクセスできるか?
- どのAPIや連携アプリがあるか?
- どの情報を外部に渡しているか?
- 事故時に誰へ連絡するか?
次に、リスクの大きいところから見直します。
- 顧客情報を扱う委託先
- 認証情報を扱うサービス
- 管理者権限を持つ外部アカウント
- 社内ネットワークへ接続できる保守会社
- 重要業務に使うクラウド
- 個人情報を扱うSaaS
- ソフトウェア更新に関わる仕組み
そして、基本対策を積み重ねます。
- 多要素認証を設定する
- 最小権限にする
- 共有リンクを見直す
- 不要な外部アカウントを削除する
- 委託終了時に権限を止める
- 契約で責任範囲を明確にする
- インシデント時の連絡体制を決める
- ソフトウェアとクラウド設定を定期的に確認する
- バックアップと復旧手順を確認する
- 取引先や委託先の対策状況を確認する
IPAは2026年版のSCS評価制度ページで、サプライチェーン強化に向けたセキュリティ対策評価制度に関する情報を公開しています。
こうした制度の動きからも、企業間・組織間のセキュリティ対策状況を可視化し、サプライチェーン全体でリスクを下げる考え方が重要になっていることがわかります。(特許庁)
サプライチェーン攻撃への対策は、すべてを一気に完璧にすることではありません。
- まず、重要なつながりを見える化する
- 次に、権限と責任範囲を整理する
- そして、異常時に連絡できるようにする
ここから始めることが大切なのです。
第10章 サプライチェーン攻撃を見る5つの問い
サプライチェーン攻撃のニュースや注意喚起を見るときは、次の5つの問いを持つと整理しやすくなります。
「どのつながりが狙われたのか?」
「どの情報やシステムに影響したのか?」
「被害はどこまで連鎖しているのか?」
「権限や共有は必要な範囲に絞られていたのか?」
「今、誰が何を確認・停止・連絡すべきなのか?」
たとえば、委託先を経由した情報漏洩なら、こう考えます。
- どのつながりが狙われたのか?
- 委託先なのか
- 再委託先なのか
- クラウドサービスなのか
- 保守会社なのか
- ソフトウェア提供元なのか
- どの情報やシステムに影響したのか?
- 顧客情報なのか
- 認証情報なのか
- 社内資料なのか
- 業務システムなのか
- メール環境なのか
- 被害はどこまで連鎖しているのか?
- 委託元だけなのか
- 顧客まで関係するのか
- 取引先にも影響するのか
- 他の利用企業にも影響するのか
- 権限や共有は必要な範囲に絞られていたのか?
- 委託先が必要以上の権限を持っていなかったか
- 共有リンクが広すぎなかったか
- 退職者や終了済み委託先のアカウントが残っていなかったか
- 今、誰が何を確認・停止・連絡すべきなのか?
- 委託元
- 委託先
- クラウド事業者
- 取引先
- 顧客
- 監督機関
- 社内の情報システム部門
こうして分けると、サプライチェーン攻撃は「取引先が攻撃された」という一言では終わりません。
- どのつながりが狙われたのか?
- 何が影響を受けたのか?
- どこまで広がったのか?
- 誰が何を止めるべきなのか?
ここまで見る必要があります。
サプライチェーン攻撃も、感情ではなく構造で見ることが大切なのです。
まとめ サプライチェーン攻撃とは、信頼のつながりを悪用する攻撃である
サプライチェーン攻撃とは、標的となる組織を直接狙うのではなく、取引先、委託先、クラウドサービス、ソフトウェア提供元などのつながりを悪用する攻撃です。
現代の組織は、一社だけで動いていません。
- 取引先
- 委託先
- 子会社
- クラウド
- SaaS
- ソフトウェア
- 外部API
- 保守会社
- 決済代行
- データ分析ツール
こうした多くの相手とつながっています。
そのため、自社だけを守れば安全、とは言い切れません。
サプライチェーン攻撃では、次のような経路が狙われます。
- 委託先のアカウント
- 取引先のメール
- 保守用のリモート接続
- ソフトウェア更新
- クラウド設定
- 外部サービス連携
- オープンソース部品
- 再委託先
攻撃者は、正規の関係や信頼を悪用します。
だからこそ、感情的に「信頼しているから大丈夫」と考えるのではなく、仕組みとして確認する必要があります。
大切なのは、次の視点です。
- 何とつながっているのか
- どの情報を渡しているのか
- どの権限を与えているのか
- 誰が管理しているのか
- 事故時に誰へ連絡するのか
- 委託終了後に権限を止めているのか
- 復旧できるのか
サプライチェーン攻撃は、誰か一社を責めるための言葉ではありません。
現代の社会が、つながりによって便利になっているからこそ、そのつながりを守る必要があるということです。
信頼は大切です。
ただし、信頼は確認と仕組みによって守る必要があります。
サプライチェーン攻撃を知ることは、組織と組織のつながりの中で、どこに被害が広がりやすいのかを知ることでもあるのです。
次回は、「重要インフラ攻撃とは何か」を扱います。
「なぜ電力、通信、交通、医療、金融が狙われるのか?」
「サイバー攻撃が、なぜ生活や国家安全保障に関わるのか?」
「重要インフラが止まると、誰にどんな影響が出るのか?」
「社会として、どのように備えるべきなのか?」
こうした問いを、生活と社会を支える仕組みという視点から見ていきます。
次回の【第12回】重要インフラ攻撃とは何か|電力・通信・医療・交通が狙われる理由をわかりやすく解説、シリーズ全体の【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶもあわせてご覧ください。
ここまでお読みいただきありがとうございました。
Veritas Labでは、国際情勢・歴史・科学・心理学・サイバーセキュリティを横断しながら、複雑な世界の構造を読み解いています。
このブログの考え方や、初めての方におすすめの記事は「Veritas Labの歩き方」にまとめています。
もしご興味あればお読みいただけると嬉しいです。
あわせて読みたい本
この記事では、サプライチェーン攻撃を「信頼のつながりを悪用する攻撃」として整理しました。
さらに深く理解したい場合は、サイバーセキュリティ全体、組織リスク、クラウドセキュリティ、事業継続を扱った入門書を読むと、サプライチェーン攻撃が単なる技術問題ではなく、契約、委託、権限管理、経営判断まで関わる問題として見えやすくなります。
ただし、実務的には、IPA、CISA、NIST、経済産業省などの公式情報を優先して確認するのがおすすめです。
※一部リンクにはアフィリエイトを利用しています。
あなたの負担が増えることはありません。
いただいた収益は、ブログ運営や書籍購入などの学習費に充てています。
- 左門 至峰, 厚焼 サネ太『マンガ+図解で基礎がよくわかる 情報セキュリティの教科書』
- ユージーン・H・スパフォード, レイ・メトカーフ, ジョサイヤ・ダイクストラ, 徳丸 浩, 金井 哲夫『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』
参考情報
- IPA「情報セキュリティ10大脅威 2026」
- 2026年版では、組織向け脅威の2位に「サプライチェーンや委託先を狙った攻撃」が挙げられています。
- 国内組織が注目すべき最新の脅威整理として確認できます。
https://www.ipa.go.jp/security/10threats/10threats2026.html
- IPA「情報セキュリティ10大脅威 2026 組織編 解説書」
- 組織向けの各脅威について、手口、影響、対策、事例を確認できます。
- サプライチェーンや委託先を狙った攻撃の説明にも使えます。
https://www.ipa.go.jp/security/10threats/omgdg50000008fi8-att/kaisetsu_2026_soshiki.pdf
- IPA「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」
- サプライチェーン全体のセキュリティ対策状況を可視化し、評価する制度に関する最新情報を確認できます。
https://www.ipa.go.jp/security/scs/index.html
- サプライチェーン全体のセキュリティ対策状況を可視化し、評価する制度に関する最新情報を確認できます。
- CISA「Defending Against Software Supply Chain Attacks」
- ソフトウェアサプライチェーン攻撃への予防、緩和、回復力を高めるための推奨事項を確認できます。
https://www.cisa.gov/resources-tools/resources/defending-against-software-supply-chain-attacks
- ソフトウェアサプライチェーン攻撃への予防、緩和、回復力を高めるための推奨事項を確認できます。
- NIST「SP 800-161 Rev.1 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations」
- サイバーセキュリティ・サプライチェーンリスク管理を、組織のリスク管理に統合するための代表的なガイドラインです。
https://csrc.nist.gov/pubs/sp/800/161/r1/final
- サイバーセキュリティ・サプライチェーンリスク管理を、組織のリスク管理に統合するための代表的なガイドラインです。
- 経済産業省「Guidelines on the Roles Expected of Cyber Infrastructure Providers」
- 2026年3月31日に公表された、サイバーインフラ事業者に期待される役割に関するガイドラインです。CISAやNISTのサプライチェーン関連資料も参照されています。
https://www.meti.go.jp/press/2025/03/20260331001/20260331001-e.pdf
- 2026年3月31日に公表された、サイバーインフラ事業者に期待される役割に関するガイドラインです。CISAやNISTのサプライチェーン関連資料も参照されています。
