DXを止めないゼロトラスト ― サプライチェーン連携に潜む罠と実践的防御策 | Security Days Spring 2025セッション①

先日開催された「Security Days Fall 2025」において、株式会社ソリトンシステムズのエバンジェリスト 荒木粧子が「DXを止めないゼロトラスト – サプライチェーン連携に潜む罠と実践的防御策 」と題した講演をおこないました。

 株式会社ソリトンシステムズ
 ITセキュリティ事業部
 エバンジェリスト
 荒木 粧子 

デジタルトランスフォーメーション（DX）は、もはや一企業だけで完結するものではありません。

パートナー企業、サプライヤー、関連会社など、多様な外部組織との協業を前提とした“サプライチェーン全体での取り組み”が一般化しています。こうした連携はビジネスのスピードを高める一方で、ユーザーや端末が混在する複雑な環境をどのように守るのかという、IT部門にとって避けて通れない課題を生み出しています。

本記事では、荒木の講演内容に沿って、クラウドのデフォルト設定に潜む死角、外部組織との連携で顕在化するリスク、そしてそれらを“DXを止めないかたち”で解決するためのアプローチについて、分かりやすく解説します。

期間限定リバイバル配信のお知らせ

この記事でご紹介している内容は、オンデマンド配信にてご視聴いただけます。現在、事前のお申し込みを受け付けています。ぜひこの機会にお申し込みください。

クリックしてイベントページへ

1. DXが加速させるサプライチェーン連携とセキュリティのジレンマ

DXの推進は、もはや自社だけで完結するものではなく、パートナー企業やサプライヤー、関連会社などとの協業を前提とする段階に入っています。ビジネススピードを高めるためには、受発注システムや品質管理システムなど、基幹業務に関わるシステムを組織横断で安全に共有することが欠かせません。

当社が2025年5月に実施した調査でも、71％の組織が「外部組織と業務システムを共同利用している」と回答しており、サプライチェーン全体での連携が一般化している状況が明らかになりました。一方で、多様な組織のユーザーや端末が混在する環境を安全に維持することは容易ではなく、多くの企業が対応に苦慮しています。

こうした背景から、従来の境界型セキュリティモデルは限界を迎え、“ゼロトラスト”という新しい前提が不可欠になっています。

クリックして画像を新しいタブで表示

2. ゼロトラスト最大の壁：サプライチェーンにおける「ユーザー管理」

従来の専用線で接続されたオンプレミス環境を前提とする「境界型セキュリティ」は、「境界の内側は信頼できる」という考えに基づいていました。しかし、業務システムのクラウドシフトが進んだ現在では、社内外を問わずインターネット経由でアクセスする環境が一般化し、この前提は成立しにくくなっています。この変化への論理的な帰結が、「信頼せず、常に検証する（Never Trust, Always Verify）」を原則とするゼロトラストアーキテクチャです。

ゼロトラストの核心は、アクセスしてくるのが「正しいユーザー」であるかどうかを確実に確認するプロセスにあります。自社の従業員の ID 管理は比較的取り組みやすい一方で、サプライチェーンのように、管理下にない外部組織のユーザーが多数関わる環境では、その管理・検証が急速に複雑になります。荒木が「最大の壁」と指摘したとおり、この外部ユーザー管理こそが、サプライチェーンにおけるゼロトラスト実現を阻む最大の難関となっています。

では、多くの組織は、この困難な課題にどのように向き合おうとしているのでしょうか。

クリックして画像を新しいタブで表示

3. 一般的な解決策に潜む罠：Microsoft Entra IDと「Restless Guest」攻撃

外部ユーザー管理の課題に直面した多くの組織が、ごく自然な選択肢として Microsoft Entra ID のゲストユーザー機能（B2B Collaboration）を利用しています。Microsoft 365 との連携や、多要素認証（MFA）などの統一ポリシーを適用できる点に加え、月間 50,000 アクティブユーザーまで無料で利用できることから、広く採用されています。

しかし、この便利な仕組みのデフォルト設定には、「Restless Guest」と呼ばれる深刻な攻撃ベクトルが潜んでいることが報告されています。Entra ID のデフォルト動作を悪用する手法で、次のように進行します。

1. 攻撃者は、自身のテナントで「課金管理者」ロールを持つアカウントを用意する。
2. ターゲット組織のユーザーが、この攻撃者のアカウントをゲストとして招待する（デフォルト設定では一般ユーザーでも招待可能）。
3. 招待されたゲストアカウントは、自身のテナントで作成したAzureサブスクリプションをターゲットテナントに転送する操作を実行する（ディレクトリを変更する）。
4. この操作により、ゲストアカウントにはターゲットのテナント内で、転送したAzureサブスクリプションに対する「所有者」権限が付与されてしまう。
    ※本記事記載時点では、明示的に禁止する設定になっていない限り、デフォルト設定ではこのシナリオが成立します。

クリックして画像を新しいタブで表示

こうして、本来なら限定的な権限しか持たないはずのゲストユーザーが、ターゲット環境で強力な権限を持つ状態が成立してしまいます。 

まず、セキュリティ管理者やアクセス管理者など、本来は見えないはずの高権限アカウント情報が参照できるため、次に攻撃すべき対象を把握できてしまいます。

さらに深刻なのは、所有者権限を得た攻撃者が、Azure サブスクリプションのポリシー変更により監視を弱めたり、外部からアクセス可能なユーザー割り当てマネージド ID を作成したりできる点です。設定次第では、ゲストアカウント削除後も残り続けるバックドアを作ることすら可能です。

• デフォルト設定のリスク: この攻撃は特別な設定変更なしで成立するため、設定を見直していないテナントは脆弱な状態にある。
• 管理者の責任: 管理者はこの攻撃ベクトルを防ぐため、ゲスト招待ポリシーやサブスクリプション管理権限など、テナントの設定を能動的に強化する必要がある。

このリスクを踏まえ、組織はどのような戦略を選択すべきかが問われています。

4. 解決への分岐点：ゲスト機能を「使いこなす」か、「別の方法を採る」か

このリスクに対して、セッションでは2つの戦略的アプローチが提示されました。組織は自社の要件や運用体制に応じて、どちらの方法が適しているかを慎重に判断する必要があります。

クリックして画像を新しいタブで表示

戦略1：ゲスト機能を徹底的に使いこなす

このアプローチは、Entra ID のゲスト機能を利用し続けながら、そのリスクを適切に管理・抑制していく方法です。たとえば、ゲスト招待ポリシーを見直して権限を持つ管理者のみが招待できるように制限したり、Azure サブスクリプションの管理権限をより厳格に設定するなどの対策が求められます。ただし、Microsoft 365 のように進化の速いクラウドサービスを安全に活用するには、継続的な情報収集や設定の見直し、有事に対応できる運用体制の整備が欠かせません。

戦略2：要件に応じて、別の方法で外部ユーザーを管理する

一方、共同作業の目的が必ずしも Entra ID のゲスト機能（B2B コラボレーション）を必要としない場合、外部ユーザーを専用の別ソリューションで管理するという選択肢もあります。これは、リスクを意図的に分離する「リスク分離」の戦略といえます。特定の業務システムへのアクセスだけを許可すればよい場合、自社テナントにゲストとして招き入れ、潜在的なリスクを抱え込む必要はないケースもあります。

5. DXを止めないための要件整理：コスト、運用、そして生産性

セキュリティを確保するうえで MFA の導入や適切なユーザー管理は欠かせませんが、現実のビジネス環境ではそれだけでは十分とは言えません。セッションで紹介された調査データは、IT リーダーが直面する厳しい現実を浮き彫りにしています。ゼロトラスト導入における最大の障壁は経済性（コスト）であり、さらに深刻化する IT 人材不足の中では、運用性（人材・スキル）の面でも扱いやすいシンプルなツールが求められています。

クリックして画像を新しいタブで表示

また、調査のフリーコメントからは、多様な関係者が協働するサプライチェーンならではの課題も明らかになりました。どれほど強固なソリューションであっても、生産性（ユーザー負担の軽減）を損なってしまえば現場の抵抗を招き、形骸化してしまうという現実です。

実践的なソリューションには、次の 3 要件をバランスよく満たすことが重要です。

• 経済性（コスト）
  調査では、ゼロトラスト導入の最大の課題として「予算の制約」と「導入・運用コストの高さ」が挙げられており、費用対効果に優れた経済的なソリューションが求められている。
• 運用性（人材・スキル）
  IT人材不足が深刻化する中、高度な専門知識を必要とせず、IT部門だけでなくビジネス部門でも管理できるような、運用のしやすいツールであることが重要となる。
• 生産性の維持（ユーザー負担）
  特にサプライチェーンにおいては、関係者のITリテラシーは様々である。認証プロセスが煩雑だと、ユーザーの抵抗を招き、生産性を低下させかねない。ログイン操作が直感的で、エンドユーザーに極力負担をかけない設計が必須となる。

クリックして画像を新しいタブで表示

これら 3 つの厳しい要件を満たしたうえで、サプライチェーンセキュリティの課題を解決した 2 社の具体的な事例が続きます。

6. 実践的対策事例：アイシンとウィザスが選んだ道

セッションでは、これら複雑な課題を、ソリトンシステムズの国産 IDaaS「Soliton OneGate」を活用して解決した企業事例が紹介されました。いずれのケースも、画一的なソリューションではなく、自社の状況に最適化されたアプローチを選択した点が成功の鍵となっています。

事例1：株式会社アイシン様 — グローバル拠点での生産性を維持したMFA展開

株式会社アイシン（グループ品質本部 品質保証部） 様 導入事例 | 導入事例 | 株式会社ソリトンシステムズ

デジタルブックのクラウド化を機に、Soliton OneGateによる多要素認証を導入国内及びグローバル拠点において生産性を損なわないセキュリティ強化を実現

soliton.co.jp

• ビジネス課題
  海外拠点を含むグローバル全体のユーザーが利用する、クラウド上の品質保証システムへのアクセスを安全に確保すること。
• 解決策
  多要素認証の要素として「デジタル証明書」を採用。
• 選択の理由
  スマートフォンの認証アプリではなくデジタル証明書を採用した背景には、現場の生産性を最優先するという明確な意図がありました。
   アイシン様では、工場のカメラ使用制限により生体認証が利用できない制約があったものの、それ以上に、IT リテラシーが多様なグローバル拠点のユーザーに負担をかけないこと、そして証明書の入った端末のみアクセスを許可できる点が決め手となりました。

事例2：株式会社ウィザス様 — 多様な雇用形態に対応する認証基盤

株式会社ウィザス 様 導入事例 | 導入事例 | 株式会社ソリトンシステムズ

Soliton OneGate導入事例 - 教育機関 - 株式会社ウィザス様

soliton.co.jp

• ビジネス課題
  社員だけでなく、アルバイトや講師など多様な雇用形態のユーザーのアクセス管理が必要でした。ただし、社員以外を社内のコア認証である Active Directory（AD）に登録することは、管理負荷の観点から避けたい状況がありました。
• 解決策
  社員は AD 連携で、それ以外のユーザーは OneGate のローカルユーザーデータベースで管理する構成を採用。ユーザー管理を明確に分離。
• 選択の理由
  リスク分離とセキュリティ強化が両立でき、さらにデジタル証明書と統合 Windows 認証を組み合わせることで、社員にはストレスのない利用環境を提供。すべてのユーザーに負担の少ない MFA を実現しつつ、AD に不要なアカウントを追加せずに運用性とコスト効率を高めることができました。 

アイシン様とウィザス様の事例は、重要な戦略的判断を示しています。外部ユーザーを無条件に自社テナントへ招き入れ、「Restless Guest」のようなクラウドサービスのデフォルト設定リスクと向き合うのではなく、必要な範囲でリスクを分離するアプローチを選択した点が共通しています。最も安全なアプローチとは、ビジネス要件に適合したツールを精緻に選び取り、無理のない運用で継続させることである——この事実を示す好例といえるでしょう。

クリックして画像を新しいタブで表示

7. まとめ：ツール選定における戦略的アプローチの重要性

本セッションが伝えた最も重要なメッセージは、DX の進展やサプライチェーン連携の拡大に伴い、外部ユーザー管理がセキュリティの中心的な課題になりつつあるという現実です。「Restless Guest」攻撃の例が示すように、便利さや無料であることだけを理由にツールを選択すると、デフォルト設定に潜むリスクを見落としてしまう危険性があります。一つのツールですべてを解決できるという前提を見直す時期にきているのかもしれません。

今求められているのは、目先の利便性ではなく、自社のビジネスに本当に必要な要件—セキュリティ、ユーザビリティ、運用性、そしてコスト—を丁寧に整理し、サプライチェーンという複雑なエコシステム全体を保護するために最適なツールを戦略的に選択する視点です。

期間限定リバイバル配信のお知らせ

この記事でご紹介している内容は、オンデマンド配信にてご視聴いただけます。現在、事前のお申し込みを受け付けています。ぜひこの機会にお申し込みください。

クリックしてイベントページへ