サプライチェーン攻撃では、外部委託先や協力会社の端末を踏み台に、窃取した正規IDを用いて自社システムへ侵入されるケースが増加しており、その対策へのニーズが高まっている。業務アプリケーションのSaaS化の進展により、ブラウザは企業データに接触する主要な経路となっている。本稿では、エンタープライズブラウザによる、外部委託先アクセスの統制や認証後の操作制御、ゼロトラストセキュリティとの関係を整理するとともに、導入での留意点を解説する。
サプライチェーン攻撃は、委託先、保守事業者、グループ会社、SaaS事業者、ソフトウェア部品など、自社の外部接点を経由して侵入し、情報窃取や不正操作を行う攻撃である。IPAの『情報セキュリティ10大脅威 2026』でも、組織向け脅威の第2位に「サプライチェーンや委託先を狙った攻撃」があがっており、同脅威は8年連続で取り上げられている。また、ITRが実施した『IT投資動向調査2026』においても、「サイバー攻撃への対策強化」を重視するIT戦略上の課題としてあげる企業が増加しており、前年の7位から4位へ上昇した。これは、サイバー攻撃対策が経営上の重要課題として位置づけられていることを反映している。
サプライチェーンリスクの観点で特に問題となるのは、自社が、外部委託先や協力会社の端末、ネットワーク、セキュリティ運用を十分に統制できない点である。委託先端末へのマルウェア感染、認証情報やセッショントークンの窃取、生成AIやファイル共有サービスへの機密情報の入力/アップロードといったリスクは、従来型の境界防御だけでは抑止が難しい。さらに、攻撃者が正規IDを利用してログインした場合、認証イベントや通信ログは一見正常に見えるため、侵害の検知が遅れる可能性がある。
従来、サプライチェーン攻撃対策は、取引先のセキュリティチェック、契約条項の整備、脆弱性管理、EDR、ネットワーク監視などを中心に議論されてきた。しかし、業務アプリケーションのSaaS化、社外端末からのアクセス、協力会社によるリモート作業が一般化した現在、実際の業務接点においてブラウザが占める役割は急速に拡大している。
実際、ブラウザ利用に関係するセキュリティインシデントは、ITRが2024年12月に実施した調査では、直近3年間で約4分の1の企業に発生したことがわかった。また、ブラウザ運用管理の重要性が「非常に増している」「増している」と回答した企業は約8割に上った(ITR Review『ITR User View:エンタープライズブラウザの導入意欲』R-22504U)。サプライチェーン攻撃への備えは、委託先のセキュリティチェックや契約条項の整備にとどまらず、外部から自社データへアクセスする接点をどのように制御するかに重点を移す必要がある。