経済産業省が策定を進める「サプライチェーン強化に向けたセキュリティ対策評価制度」は、2026年度末の運用開始が予定されている。ランサムウェア攻撃の高度化・巧妙化に加え、サプライチェーンを起点とした攻撃が急増する中、企業にはパスワード管理や特権アクセス管理を含む、より実効性の高いセキュリティ対策の強化が求められている。こうした状況を踏まえ、本稿ではKeeper Securityチャネルセールスダイレクターの中澤陽彦氏に、評価制度への具体的な対応ポイントと、Keeper Security ソリューションの活用について話を聞いた。

サプライチェーン攻撃の増加を受けて新たな評価制度を創設

　サイバー攻撃の猛威はとどまることを知らない。昨年2025年だけを振り返っても、大手企業や組織を狙った攻撃が複数回発生した。とくに日本の場合、取引先とのネットワーク接続が広範に行われているため、一度攻撃を受けると複数企業に被害が波及しやすい。

　ほとんどのITセキュリティ担当者がサイバー攻撃の増加を実感しており、その中の4割近くはサプライチェーン攻撃を脅威と認識している、という調査もある。実際、昨年発生した国立国会図書館での情報漏えいは、図書館から依頼を受けた企業が外部事業者へ再委託しており、その際にセキュリティ水準を含めた採用基準を定め適合を確認していた。それにもかかわらず再委託先が攻撃を受けて、国立国会図書館の情報漏えいにまでつながってしまった。この事例が示すように、今や一企業だけの問題ではなく、セキュリティ対策はサプライチェーン全体で取り組まなければ意味をなさない課題となっており、国として明確な採用基準や評価基準を定めていく必要があると言える。

　こうした状況を受け経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の策定を急速に進めている。この制度では、発注者が受注者に提示する取引条件として、セキュリティ要件に、特定の段階（★3/★4/★5）を設定することが想定されており、このうち★3と★4はともに2026年度末までに運用を開始する予定だ。つまり、発注先から今後の取引継続の条件として2027年度までにセキュリティ要件として★4の取得を求められる可能性がある。

　★3は一般的にどの企業も最低限対策すべき基準として位置づけられており、83項目のチェックシートがある。★4は、より高度な要求事項を含む重要な項目で第三者による準拠評価が求められる。 

　制度の対象はサプライチェーンを構成するすべての企業だが、特に中小企業などセキュリティ対策におけるリソースが限られている企業がこの制度を使うことで、自社がどういう対策をすべきか認識し、その上で対策を取れるようにする、という狙いがある。この制度に乗らないことでの罰則は規定されていないが、2025年末のアップデートで、評価を受けた企業はウェブページ上の台帳に社名等が公表されることが謳われた。今後、当制度の評価を受けているかどうかが取引先選定の判断材料として重要視されていく可能性は高い。
 

重要なのは防御領域。しかし要求事項を満たそうにも課題は多い

　評価制度の構成はNISTサイバーセキュリティフレームワーク2.0に沿っており、ガバナンスや攻撃の検知、攻撃からの防御などの大項目も定められている。とくに“防御”の領域は★3で49項目、★4で37項目と、最も多くの評価基準が設定されており、この“防御”の領域でいかに対策を取っていくかが重要視されている。

　“防御”領域における要求事項の具体例を見ていこう。例えばパスワード管理に関する要求事項として★3では「パスワード設定に関するルールを定め、周知すること」が求められる。具体的にはデフォルトパスワードの変更や、推測されやすい単語の禁止、といった基準が示されている。また、機器やサービス間でのパスワード使い回しも禁止される。

　もちろん、この領域での対応、とくにパスワード管理、は単に評価制度をパスするためだけでなく、セキュリティ対策としても非常に重要だ。「巧妙な攻撃を仕掛けてくる攻撃者の最終的な狙いの１つは、正規の社員になりすますことである 。攻撃者が明確にルールを逸脱する行動を取れば、異常として検知されてしまう。そのため攻撃者は、社員のIDを使い、本人と見分けがつかない振る舞いをすることで従来のセキュリティ製品では検知しにくくなることを狙っていく」と中澤氏は説明する。

　攻撃者はなりすましに成功すると、社内ネットワークを横展開（ラテラルムーブメント）していく。ランサムウェア攻撃では組織全体のシステムを暗号化するために横方向への拡散が不可欠となり、最終的にIT部門にたどり着いてサーバーやデータベースへのアクセス権を奪い、機密情報の取得や暗号化による身代金要求を行う。そのため、パスワードやID、特権アクセス、常時付与された管理者特権をいかに管理・保管するかが、感染拡大を許すか食い止められるかの分水嶺となるのだ。

　とはいえ、現場でこの要求事項を満たそうにも多くの課題があるのも事実である。「SaaSを利用する機会など増えパスワードが多く覚えられないため手帳や台帳で管理している、サービスへのアクセス先が正規かどうか不安、パスワードを使い回している、覚えやすい数字との組み合わせにしているといった状況が散見される。またiDaaS製品を導入されている企業もこれらの問題に直面しているケースが多い」と中澤氏は指摘する。また管理者側も、ポリシーに沿った運用の遂行や、ダークウェブへの漏えいの確認といった管理負担やリソース不足を抱えているのも事実だ。
 

パスワード管理の課題をKeeperが解決──作らない、覚えない、入力しない運用へ

　この課題に対しKeeper Securityは、パスワードの安全な管理・共有、ダークウェブ漏えい監視、評価・監査のそれぞれの機能を提供している。パスワード管理・共有機能では、複雑で長い強力なパスワードを自動生成・保存し、登録してある正規サイトへのアクセス時に自動入力を行う。管理者側では、例えば10桁以上（NISTは15桁以上を推奨）などパスワードの最低桁数を強制適用できるため、自然と10桁以上の長いパスワードを利用するようになり、評価制度が求める要件にも対応可能だ。正規のURLを登録しておくことでフィッシングサイトへの認証情報の入力も防止できる。さらに、ゼロ知識アーキテクチャを採用しており、AES256による暗号化でユーザー本人以外はパスワード情報にアクセスできない設計となっていることは、Keeper Securityの特徴でもありセキュリティ面での強みでもある。

　ダークウェブ監視機能では、利用中のパスワードが漏えいしていた場合にユーザーへ通知して即時変更を促す。「手帳やブラウザーのパスワードマネージャーなどの個人任せでは絶対に即時に分からない漏えい状況を、管理者画面から従業員ごとに一覧で確認できる。漏えいしたことに気づかない状況では、社員になりすましされる可能性があり、危険度が上がっているということである」と中澤氏は説明する。

　評価・監査機能では、パスワードの強度評価、使い回し検知、監査レポートの出力が可能だ。従業員一覧の縦軸に対し、短いパスワードや使い回しパスワードの個数、二要素認証の使用状況が一目で把握できる。

　これらの機能により、これまで従業員任せになっていたパスワードの管理を「作らない、覚えない、入力しない」という運用に変えることで、利便性を向上させ安全に運用することが可能だ。「複雑で長いパスワードも自動で生成でき、小文字と大文字を混ぜるか、数字も含めるか、さらには記号も入ったパスワードにするかという設定も可能だ。そして生成したパスワードは安全に暗号化して保管され、正規のサイトへのアクセス時には自動で入力もされるので、作業負担を大きく軽減できる。これによりユーザーからのパスワードリセット対応といった情報システム部の工数削減とともに、ユーザー側の業務停止を軽減することが可能になる」と中澤氏は述べる。 
 

ゼロトラストで特権アクセスを保護──KeeperPAMが従来製品の課題を解消

　評価制度の中では、特権アクセス管理についても多くの評価基準項目があり、例えば★3なら「管理者IDの発行・変更・削除の手続を定め、適切に運用すること」が求められる。具体的な評価基準としては、管理者IDを共有しない、必要最低限の権限のみを付与する、管理者権限で作業しないようにする、不要になったIDは速やかに削除または無効化する、といった内容が並ぶ。

　中澤氏は「Active Directory管理者権限を奪われたら、システム全体が停止にもつながり、経済損失としては甚大な被害につながる可能性がある。特権IDやアクセス権は、絶対に奪われてはならない」と強調する。しかし、従来の特権アクセス管理製品には普及を阻む障壁があった。Keeper Securityの独自調査によると、IT・セキュリティ担当者の84％が複雑性、85％が専門性、68％が高額投資を課題として挙げている。設計に半年、構築に数カ月かかり、専任リソースが必要で、ライセンスと運用コストが高額になるケースが珍しくなく、導入まで至らない顧客が多かったのが現実だ。これは、従来型PAMは特権IDを「どう管理するか」を起点に設計、構築、運用をする必要があり、特権IDを棚卸し、利用ユーザーの範囲を明確にして設計/構築/運用をしないといけないためだ。複雑な従来型PAMは専門性がないと扱えず、運用開始までの期間が伸び、高額になる。また、PAMは強く信頼される中枢となるため、万一PAM基盤が侵害された場合、複数の特権アカウントや管理対象システムへの影響が連鎖的に広がるリスクを内包しているのだ。

　これらの課題に対しKeeper Securityが提示するのが、完全SaaS形態で提供する特権アクセス管理ソリューション「KeeperPAM」だ。KeeperPAMは特権アクセスを「どう安全にアクセスを成立させるか」を起点としているため、非常にシンプルな設計、構築、運用となり、始めたいシステムからすぐさま始めることが可能だ。後からの追加も容易である。

　機能としては、特権ID管理ではクレデンシャル情報の管理、ユーザーへの払い出し、パスワード秘匿化、定期・自動パスワード変更を行う。特権セッション管理では管理・開発環境向けリモートアクセス環境を提供し、ゼロトラストアクセスとリモートブラウザ分離を活用する。操作内容は動画とテキストベースで全て記録され、後から監視・監査が可能だ。またKeeperAI機能は、AIによる脅威検知と対応の自動化、さらに特権セッションのリアルタイム分析とサマリー生成を実現する。

　構成としては、顧客環境にKeeper Gatewayを設置し、WebポータルのKeeper Vaultと連携しており、特権ID管理者がユーザーID、パスワード、有効期限を設定したレコードを作成したら、特権IDユーザーのVaultに共有する形で貸し出す。ユーザーは共有されたレコード経由でしかアクセスできないため、アクセス制御が機能するのだ。

　製品の優位性として中澤氏は「高セキュリティ、利便性、TCO削減の3点」を挙げる。セキュリティ面ではゼロトラスト、ゼロ知識アーキテクチャを採用し、業界最高位のFedRAMP認証のHighを取得している。このゼロ知識アーキテクチャの考えが非常に重要で今後主流になると考えている。このアーキテクチャは、ユーザー本人のみだけがデータを復号化することができ、本人以外は提供元のKeeper自身であっても暗号化された情報の中身を見ることは不可能だ。

　利便性では、直感的なインターフェースとクラウドネイティブ構成により短期間での導入が可能で、パスワード管理と特権アクセス管理を同一プラットフォームで提供する。コスト面ではシンプルなライセンス体系と短期の検証・導入期間により、総保有コストを抑制できる。
 
　中澤氏は「評価制度にはパスワード管理と特権アクセス管理の要件が多く盛り込まれているが、Keeperはこの2つを同じプラットフォームでリーズナブルに提供可能だ。何よりも重要なのは、企業の環境が安全・安心に運用が継続されることなので、まずはトライアル環境で機能や使用感をお試しいただきたい。また、評価制度へのKeeper Security製品での機能対応をまとめた完全ガイドも用意しているので、ぜひ興味ある方は連絡してほしい」と最後に語った。