「大企業が情報漏えいを起こした原因は、自社のシステムではなく、利用していたソフトウェアの脆弱性だった。」
近年、このようなニュースを目にする機会が増えています。
2026年7月には、KDDIがISP事業者向けシステムへの不正アクセスを受け、約1,200万件を超えるメールアドレスなどが漏えいしたと発表しました。
報道によると、原因はサードパーティ製ソフトウェアの脆弱性が悪用されたこととされています。
このような事例は決して他人事ではありません。
多くの企業は、自社で開発したシステムだけでなく、メールサーバーやVPN、バックアップソフトなど、さまざまな外部製品を利用しています。
そのため、自社の管理が適切であっても、利用しているソフトウェアの脆弱性を狙われることで情報漏えいにつながる可能性があります。
サードパーティ製ソフトウェアとは
サードパーティ製ソフトウェアとは、自社以外の企業が開発・提供しているソフトウェアを指します。
例えば、
- VPN製品
- メールサーバー
- バックアップソフト
- Webサーバー
- ファイル共有システム
- セキュリティソフト
など、多くの企業が日常的に利用しています。
便利な一方で、脆弱性が発見された場合は世界中の利用者が影響を受ける可能性があります。
なぜ「サプライチェーンリスク」と呼ばれるのか
企業は多くのベンダーやサービスを利用しています。
つまり、
企業
│
├ Microsoft 365
├ VPN製品
├ バックアップソフト
├ 会計ソフト
└ メールサーバー
どこか一つでも重大な脆弱性が見つかれば、攻撃者はそこを突破口として企業へ侵入できる可能性があります。
これはサプライチェーン全体のリスクであり、自社だけ対策していても十分とは言えません。
企業が実施したい対策
サードパーティ製ソフトウェアによるリスクを完全になくすことはできません。
しかし、次のような対策により被害を軽減できます。
- ソフトウェアを常に最新バージョンへ更新する
- セキュリティパッチを速やかに適用する
- 利用しているソフトウェアを一覧で管理する
- ベンダーからのセキュリティ情報を定期的に確認する
- 不要なソフトウェアは削除する
また、委託先やクラウドサービスについても、セキュリティ対策や脆弱性対応の体制を確認しておくことが重要です。
従業員教育も忘れてはいけない
脆弱性への対応は情報システム部門だけの仕事ではありません。
アップデートを後回しにしたり、不審な動作を放置したりすると、被害が拡大する可能性があります。
そのため、
- ソフトウェア更新の重要性
- 不審な挙動を発見した際の報告手順
- 情報システム部門への連絡方法
などを、日頃から全従業員へ教育しておくことが重要です。
まとめ
KDDIの事例が示すように、情報漏えいは自社のシステムだけでなく、利用しているサードパーティ製ソフトウェアの脆弱性が原因となる場合があります。
企業は、自社だけでなく利用するソフトウェアや委託先も含めたサプライチェーン全体のリスクを意識し、継続的な脆弱性管理と従業員教育を実施することが重要です。
情報セキュリティ研修をご検討中の方へ
当サイトでは、最新のサイバー脅威やAI時代のリスクに対応した以下のサービスをご提供しています。
- 研修動画パッケージ(買い切り型・社内配信可能)
- 講師派遣による対面・オンライン研修
- 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター
動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレートも付属しており、担当者様の運用負担を最小限に抑えながら、全社一律の「やりっぱなしにしない教育体制」の構築に役立ちます。
料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。


