サプライチェーンアタックを防ぐ業務運用

「信頼の連鎖」を過信しない意識付け

• 取引先や知人からのメールであっても、添付ファイルやURLを無条件に信頼しない。「いつもと文面が違う」「返信にしては不自然」という違和感を大切にする。
• 業務で使用するソフトウェアやライブラリ（開発者の場合）は、公式サイトや信頼できるリポジトリ以外から入手しない。
• 開発ツールやプラグインの導入前に、その開発元が現在もメンテナンスを継続しているか、不審な脆弱性情報が出ていないかを確認する。
• 「自分のような小規模事業者は狙われない」という思い込みを捨て、大手企業を狙うための「入り口」として狙われているという自覚を持つ。

外部共有とアクセスの制御

• 取引先とデータを共有する際は、パスワード付きZIPファイル（PPAP）を廃止し、アクセス権限を細かく制御できるクラウドストレージ（共有期限や閲覧専用設定など）を活用する。
• 共有用のアカウントは、プロジェクト終了後に放置せず、即座にアクセス権限を削除する「棚卸し」を月次などのルーチンに組み込む。
• 外部のベンダーやパートナーに自社環境へのアクセスを許可する場合、必要最小限の範囲（最小権限の原則）に限定し、作業完了後は即座に遮断する。

ソフトウェア・サプライチェーンの衛生管理

• 業務で使用するPCのOSやアプリケーションは、常に最新のパッチを適用し、既知の脆弱性を放置しない。
• 開発業務を行う場合は、利用しているオープンソースライブラリ（OSS）に脆弱性が含まれていないか、定期的にスキャンツールで点検する。
• ブラウザの拡張機能など、知らぬ間に通信内容を傍受する可能性があるツールは最小限に絞り、不要なものは削除する。

踏み台化を防ぐ「出口」の監視

• 自社のPCから外部へ向けて、身に覚えのない不自然な通信（深夜の大量データ送信など）が発生していないか、セキュリティソフトやルーターのログを定期的に確認する。
• 自身のSNSやブログ、問い合わせフォームが、他サイトへの攻撃やスパム送信の「踏み台」にされていないか、動作確認やコメント監視を怠らない。
• 万が一、自社からの漏洩や攻撃が疑われる連絡を取引先から受けた際、即座に状況を調査し、正直に報告できる連絡体制を整えておく。

取引先とのセキュリティ合意

• 新規の取引を開始する際、互いにどのようなセキュリティ基準でデータを扱うかを（簡易的なものでも）書面やメールで合意しておく。
• 相手のセキュリティ対策に不安を感じる場合は、データの受け渡し方法をより安全なものに変更するよう提案する。
• 自身が提供する成果物（納品データ、プログラム、ウェブサイト等）にウイルスや脆弱性が混入していないことを、納品直前に再度チェックする。