2026 年 4 月の axios CVE-2026-40175(CVSS 10.0)は、企業の依存関係管理体制を試す試金石になった。 24 時間以内に全プロジェクトを 1.15.0 へ更新できた企業と、3 週間かけて 60% しか到達できなかった企業の差は、ツール連携と SLA フローの整備度に集約される。本記事は、axios だけでなく npm 全般のサプライチェーン攻撃に備えるプレイブックを、中堅企業(情シス 2-5 名)向けに整理する。
目次
- サプライチェーン攻撃の系統と直近事例
- 3 ツール連携設計(Dependabot+Snyk+npm audit)
- 24 時間 SLA 意思決定フロー
- 影響範囲特定 grep/SQL テンプレ
- 段階的ロールバック手順
- SBOM 整備と継続運用
- 中堅企業のテーブルトップ演習シナリオ
- よくある質問(FAQ)
サプライチェーン攻撃の系統と直近事例
| 系統 | 代表事例 | 影響 |
|---|---|---|
| 直接 OSS の CVE | axios CVE-2026-40175 | 1.15.0 未満全プロジェクトで RCE |
| 悪意ある typosquatting | colors.js(2022 年)/node-ipc(2022 年) | ライブラリ作者が悪意更新 |
| メンテナアカウント乗っ取り | event-stream(2018 年) | 後続バージョンに malware 混入 |
| ビルドパイプライン汚染 | Solarwinds 級 | ビルド時に compromised |
| Postinstall スクリプト | npm 全般 | install 時に任意コード実行 |
3 ツール連携設計
役割分担
| ツール | 担当領域 | 通知先 | コスト |
|---|---|---|---|
| Dependabot | 軽微〜Medium 自動 PR | GitHub PR | 無料 |
| Snyk | High/Critical 即時アラート+修正提案 | Slack #sec-alert | 年 60 万円〜 |
| npm audit | CI ゲート(PR ブロック) | GitHub Actions | 無料 |
Dependabot 設定例(.github/dependabot.yml)
Snyk Slack 通知ルール
- Critical/High → Slack 即時+メール
- Medium → 日次サマリー
- Low → 週次サマリー
CI ゲート(npm audit)
24 時間 SLA 意思決定フロー
影響範囲特定 grep/SQL テンプレ
npm 依存(package.json)
lockfile 内の解決バージョン
全リポジトリ横断(GitHub 組織管理)
CMDB/資産管理 DB
段階的ロールバック手順
| 段階 | 対象 | 確認内容 |
|---|---|---|
| 1. dev | feature ブランチ単位 | 単体/結合 |
| 2. staging | リリース候補 | 結合/E2E |
| 3. canary | 本番 5-10% | エラー率/レイテンシ |
| 4. 部分反映 | 本番 50% | 同上+業務確認 |
| 5. 全反映 | 本番 100% | 監視ダッシュボード継続 |
SBOM 整備と継続運用
経済産業省「ソフトウェア管理に向けた SBOM の導入に関する手引」2024 年改訂版に準拠する場合の最小構成:
| 要素 | フォーマット | 更新タイミング |
|---|---|---|
| 部品表 | SPDX 2.3 / CycloneDX 1.5 | 各 deploy 後自動生成 |
| ライセンス情報 | SPDX 識別子 | 部品表と連動 |
| 脆弱性紐付け | VEX(Vulnerability Exploitability eXchange) | 週次 or アラート時 |
中堅企業のテーブルトップ演習シナリオ
シナリオ: 月曜 10:00、Snyk から axios CVSS 10.0 アラート受信、150 リポジトリ/12 本番システムに影響可能性
| 時刻 | 担当 | アクション |
|---|---|---|
| 10:00 | 情シス担当 A | アラート受信→CISO Slack 通知 |
| 10:30 | CISO | Critical-A 認定、24h SLA |
| 11:00 | SRE 兼任 | grep で影響 47 リポジトリ特定 |
| 12:00 | 開発リーダー | 主力 5 システムから着手 |
| 14:00 | 各開発担当 | Dependabot PR 順次マージ |
| 18:00 | SRE | staging 全反映、回帰テスト |
| 20:00 | SRE | canary 開始 |
| 翌 04:00 | 監視 | 全反映完了、異常なし |
| 翌 09:00 | CISO | 経営層/主要取引先 報告 |
よくある質問(FAQ)
Q. Dependabot だけで Snyk は不要? A. 検知速度/カバレッジ/修正提案品質で Snyk が優位。中堅企業以上では併用が標準。月数十万円のコストは年間 1 件のインシデント回避で回収。
Q. npm audit は誤検知が多いと聞く、CI ゲートに使う意味は? A. `--audit-level=high` で誤検知の大半は除外可能。残った検知は人手判定。完全自動化は望めないが、High 以上のすり抜け防止には有効。
Q. SBOM は本当に必要? A. 政府調達・金融・重要インフラでは 2025 年以降事実上必須化。一般中堅企業でも 2027 年までに整備推奨。後追いになると整備工数が膨らむ。
参考資料
- IPA「ソフトウェアサプライチェーン攻撃の対策」2024 年版
- 経済産業省「ソフトウェア管理に向けた SBOM の導入に関する手引」2024 年改訂版
- CISA「Software Bill of Materials (SBOM)」ガイダンス
サプライチェーン対応プレイブックの整備、Dependabot+Snyk 設計、SBOM 自動生成パイプライン構築は、GXO のセキュリティ運用支援サービスでワンストップ支援可能です。