IPAの「情報セキュリティ10大脅威 2026」では、サプライチェーンや委託先を狙った攻撃が組織向け2位に入っています。自社のPCやサーバーを守るだけでは足りません。委託先、SaaS、AIツール、開発会社、外部APIが業務に深く入り込むほど、攻撃者は弱い接点を狙います。
AI時代は、さらに接続先が増えます。生成AIにGoogle DriveやMicrosoft 365を接続する、AIエージェントにCRMを操作させる、外部APIで自動化する、開発会社にソースコードや認証情報を渡す。これらはすべてサプライチェーンリスクです。
開発会社選定時の確認項目は、ITベンダー選定とRFPの実務ガイドやAI開発ベンダー選定基準も参考になります。サプライチェーン攻撃の検知・運用面はサプライチェーン攻撃検知ツール比較、IPA 10大脅威全体の整理はAIリスク初選出の実務チェックを参照してください。
確認すべき対象
| 対象 | 確認項目 |
|---|---|
| 開発会社 | ソース管理、権限管理、脆弱性診断、退職者対応 |
| SaaS | SSO/MFA、ログ、データ保管、管理者権限 |
| AIツール | 学習利用、入力データ、接続先、ログ、停止手順 |
| 外部API | APIキー管理、呼び出し制限、障害時対応 |
| 業務委託先 | 個人情報の取り扱い、再委託、事故報告 |
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
発注時に入れるべき質問
ベンダー選定やSaaS導入時には、次の質問を入れるだけでリスクを下げられます。
- 管理者アカウントにMFAを必須化できますか
- 操作ログはどの範囲で取得できますか
- データはどの国・環境に保存されますか
- AIに入力したデータは学習に使われますか
- 退職者や委託終了時の権限削除手順はありますか
- インシデント発生時の通知期限は契約に入っていますか
- 脆弱性が見つかった場合の対応SLAはありますか
GXOの支援
GXOでは、SaaS・AIツール・開発委託先のセキュリティ確認表、RFP、契約前チェック、委託先スコアカード、運用中の証跡管理を支援します。AI導入やシステム開発を進める前に、接続先と委託先のリスクを見える化することが重要です。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
参考情報
- IPA「情報セキュリティ10大脅威 2026」:https://www.ipa.go.jp/security/10threats/10threats2026.html
- CISA「AI Cybersecurity Collaboration Playbook」:https://www.cisa.gov/news-events/news/cisa-jcdc-government-and-industry-partners-publish-ai-cybersecurity-collaboration-playbook
- CISA AI guidance:https://www.cisa.gov/ai
委託先・SaaS・AIツールのセキュリティを点検します
GXOでは、開発会社、SaaS、AIツール、外部APIの確認表とRFPを整備し、サプライチェーンリスクを可視化します。
発注前に確認したい場合は、AI開発RFPのセキュリティ項目も参考になります。