ITサプライチェーンリスク管理に対する民間企業への責任の拡大─ 米国政府の対中防衛事例から見る日本企業への示唆

ITサプライチェーンリスク管理に対する民間企業への責任の拡大─ 米国政府の対中防衛事例から見る日本企業への示唆

菊池 咲
菊池 咲

EYストラテジー・アンド・コンサルティング株式会社 ストラテジック インパクト マネージャー

2026年2月27日

米国政府は、ITサプライチェーンリスク管理における委託・再委託構造やソフトウェアのエコシステムに潜む対中リスクを強く問題視し、民間企業にも対応を求める動きが加速しています。

本記事では2026年1月23日に開催されたセミナー「経済安全保障OSINT活用セミナー第2回:米国政府における対中リスク管理の手法~国防総省の大手ITサプライヤーへの調査事例~」でお届けした情報をレポートとしてご紹介いたします。

要点

  • 米国では、ITシステムを懸念国から守ることが国家安全保障の中核となりつつあり、委託構造やパートナー企業まで含めたITサプライチェーンのリスク管理が国家安全保障の重要課題となっている。
  • 中国企業や技術者の関与は一律に排除できるものではなく、法制度やガバナンス環境を踏まえた実質的なリスク管理・調査が求められている。
  • SBOM(Software Bill of Materials)や経済安全保障の議論を背景に、日本企業においてもITサプライチェーンのリスク管理は技術課題のみならず経営課題として正面から向き合うテーマとなりつつある。

米国では近年、大手ITシステムのサプライチェーンを通じた安全保障リスクへの警戒が急速に高まっています。特に、対中関係を背景としたリスク管理は、もはや政府に限られた論点ではなく、民間企業にも波及しつつあります。

本セミナーでは、EYストラテジー・アンド・コンサルティング株式会社 ストラテジック インパクト マネージャーの菊池が、米国国防総省(DoD)によるリスク調査事例を取り上げながら、こうした動向が日本企業に突きつける示唆について解説しました。

委託構造の脆弱性がもたらすITサプライチェーンリスク事例

公益目的の調査報道で知られる米国オンラインメディアは、国防総省のシステム構築・維持管理業務において、セキュリティ・クリアランスを保有しない外国人技術者がシステム構築業務に関与し、悪意あるコードが挿入され得る状態にあった可能性を報じました。

問題となったのは、国防総省のシステム構築が国家安全保障に関わる極めて重要な業務でありながら、委託・再委託構造のリスク管理が十分に機能していなかった点です。当該業務は本来、米国籍で「セキュリティ・クリアランス」を保有する者のみが関与できる条件で大手ITサプライヤーに委託されていました。

大手ITサプライヤーはセキュリティ・クリアランスを保有する管理監督者を置いていましたが、実際の業務は要件を満たさない再委託先が実施していました。管理監督者には再委託先の業務をレビューする責務がありますが、管理監督者は十分な技術的知識を有しておらず、再委託先で実施された作業内容について適切なレビューが行われていなかった可能性が指摘されています。

「ITサプライチェーンにおける委託構造という、いわばアナログな脆弱性が、国家安全保障上の重大なリスクにつながり得ることを示した事例です」(菊池)

米国オンラインメディアの報道公開からわずか3日後、米国のヘグセス国防長官は、国防総省で使用されるITツールを対象に、中国やロシアなどの懸念国による影響力工作を阻止することを目的として、サプライチェーンリスクの点検を指示するメモランダムを発出しました1。このメモランダムでは、次のような点が指示されています。

  • 懸念国が影響力を行使し得るハードウェア・ソフトウェアの調達回避
  • 既存のセキュリティ制度強化
  • 防衛産業基盤やクラウドサービスにおける職員のセキュリティ慣行の見直し
  • 内部リスク管理プログラムの再点検

「ミサイル防衛と同様、あるいはそれ以上に、ITシステムを懸念国から守ることが国家安全保障の中核になりつつあることを示しています」(菊池)

エコシステムに潜むパートナーリスク管理事例

もう1つの事例として、菊池は大手ITサプライヤーが運用する、一定の条件を満たすパートナー企業に対し、OSやアプリケーションの脆弱性を解消するための追加プログラムとなる脆弱性修正パッチの情報を一般公開前に共有するプログラムを巡るリスクを紹介しました。

米国の大手通信社の報道によると、2025年7月に発生した大手ITサプライヤー製ソフトウェアへのサイバー攻撃において、プログラムに参加していた中国企業を経由し、中国政府が支援するハッカーに脆弱性情報が流出していた可能性が指摘されています。この背景には、中国企業や中国国籍者が政府から情報提供を求められた場合、これに応じる義務を負わなければならないという、中国の国家情報法が関係しています。

一方で、菊池は国籍のみで一律に判断することの難しさにも言及しました。

「中国企業や中国人技術者が脆弱性の発見に貢献している側面もあります。単純な国籍での線引きでは対応が難しいのが現実です」(菊池)

この事例は、ITシステムのエコシステムに参加するパートナー企業について、その企業が属する国の法制度やガバナンス環境を踏まえたデューデリジェンスが不可欠であることを示しています。

民間防衛の重要性 ― ITシステム防衛を巡る社会的要請の変化 ― 

さらに米国では、懸念国による社会インフラへのハッキングが深刻な脅威として認識されています。シンクタンクでは、政府や軍だけでなく民間企業も含めた「民間防衛」の重要性が強調されています。

「ITシステムの防衛は、政府や軍だけでは実現できません。調達ルールや規制を通じ、民間企業にも対応が求められていくでしょう」(菊池)

軍事と民事の境界が曖昧になる中、ブルッキングス研究所は「総力防衛・包括的防衛」の観点から、社会全体のレジリエンス強化が抑止力につながると指摘しています2

また、Atlantic Councilのレポートでは、近年明らかになった中国による電力網などへの公共インフラに対するハッキング事例を踏まえ、仮に台湾有事が発生した場合、米国の介入を妨げる目的で重要インフラが標的となる可能性を指摘しています。その上で、民間インフラ企業に対しても、中国とのサイバーおよびサプライチェーン上の関係を、恒常的な安全保障リスクとして管理すべきだと強調しています3

ASPI(豪戦略政策研究所)も、ITサプライチェーン構築におけるベンダーの選択そのものが、もはや純粋な商業判断ではなく、安全保障の判断を伴うものになりつつあると警鐘を鳴らしています4

EYストラテジー・アンド・コンサルティング株式会社 ストラテジック インパクト マネージャー 菊池 咲
EYストラテジー・アンド・コンサルティング株式会社 ストラテジック インパクト
マネージャー 菊池 咲

サプライチェーン可視化という新たな企業責任

SBOMは、ソフトウェアの構成要素や開発主体を明示しサプライチェーンを可視化したもので、特に米国政府調達を中心に活用が進んでいます。今後は、民間企業にも規範的な対応として求められる可能性があります。

米国では、バイデン前大統領時代に発出された大統領令14028を契機に、政府調達でのSBOM提出が進められてきました。2025年9月には、日本と米国を含む15カ国がSBOMに関する国際ガイダンスに共同署名しています。今後、SBOM確認はITサプライチェーン導入時における善管注意義務の一部と見なされる可能性もあります56

民間企業に求められるITサプライチェーンリスク管理責任の新局面

米国と密接なビジネス関係を持つ日本企業にとって、ITサプライチェーンを巡るこれらの動向は、もはやひとごとではありません。ITサプライチェーンリスク管理は、個別のセキュリティ対応やシステム管理の問題ではなく、経営判断そのものに直結する課題として位置付けられつつあります。

「現在は、ITサプライチェーンリスク管理における規範形成のフェーズです。今後、民間企業に求められる責任は、より一層拡大していくでしょう」(菊池)

日本においても、経済安全保障推進法のもと、基幹インフラ分野ではTier2以降の委託先まで把握することが求められています。現在は把握対象外の企業であっても、将来的な対応を見据え、ITサプライチェーンのリスク管理を先行して検討する動きがすでに始まっています。

EYでは、企業の資本関係から役員構成まで、幅広く中国との関係を確認できるスクリーニングツールを活用し、例えばジョイントベンチャーや戦略的提携を検討する際に相手企業と中国との間にどのような関係があるかについて、またその関係性が確認された場合、それらが経済安全保障上どの程度の意味を持つのかを整理し、企業や組織の意思決定につなげる支援を行っています。

  1. “MEMORANDUM FOR SENIOR PENTAGON LEADERSHIP COMMANDERS OF THE COMBATANT COMMANDS DEFENSE AGENCY AND DOD FIELD ACTIVITY DIRECTORS,” Secretary of Defense, 18 July 2025
  2. Alexander Noyes and Jesse R. Humpal “Why the US needs a total defense strategy based on resilience” Brookings, 2025 Oct 21
  3. Victor Atkins and Markus Garlauskas “US power utilities must prepare for a crisis in the Indo-Pacific. Here’s how they can start” Atlantic Council, 2025 Nov 3
  4. Jason Van der Schyff, James Corera “Building trust into tech: a framework for sovereign resilience” ASPI , 2025 Nov 11
  5. “Recommendations for Software Bill of Materials (SBOM) Management ,” National Security Agency, January 2024
  6. “A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurityvv,” Japan’s Ministry of Economy, Trade and Industry, et al., 3 September 2025

無料相談受け付け中!

米国の投資審査機関も活用している経済安全保障リスク評価ツールであるOSINT(Open Source Intelligence)プラットフォームの無料トライアルについて、現在無料相談を受け付け中です。

2025年9月末に米国の商務省が導入し、来年発動予定である、輸出規制対象者の範囲を大幅に拡大する「50%ルール」において、日本企業のリスク低減のために活用できるサービスにもなっております。

発動開始前より対策しておくことで、発動時にスムーズに対応することができるため、現段階からの取り組みが重要となります。

ご興味がある方はぜひお気軽にご相談ください。

サマリー

米国政府の最新調査は、ITサプライチェーンを通じたリスク管理が国家安全保障の中核に位置付けられつつある現実を示しました。ITサプライチェーンのリスク管理は今や、委託構造やパートナー関係に内在する脆弱性を踏まえて企業責任として経営に組み込まれる段階に入っています。こうした潮流は、日本企業にとっても競争力を左右する重要なテーマとなっていくでしょう。

関連イベント・セミナー

経済安全保障OSINT活用セミナー第3回:企業における産業スパイ対策~日本企業においても実践可能な具体例~

安全保障環境が激変し、エコノミック・ステイトクラフトが激しさを増す中で、日本企業は経済安全保障を念頭に置いた経営戦略が必須となっています。最新の経済安全保障政策の動向を解説し、日本企業にも求められる対策や、そのために有効なソリューションをご紹介します。

経済安全保障OSINT活用セミナー第2回:米国政府における対中リスク管理の手法~国防総省の大手ITサプライヤーへの調査事例~

安全保障環境が激変し、エコノミック・ステイトクラフトが激しさを増す中で、日本企業は経済安全保障を念頭に置いた経営戦略が必須となっています。米国における最新の経済安全保障政策の動向を解説し、日本企業にも求められる対策や、そのために有効なソリューションをご紹介します。

経済安全保障OSINT活用セミナー第1回:米国輸出規制の強化と今後の対中政策の行方~来年発動予定のBISによる50%ルール~

安全保障環境が激変し、エコノミック・ステイトクラフトが激しさを増す中で、日本企業は経済安全保障を念頭に置いた経営戦略が必須となっています。米国における最新の経済安全保障政策の動向を解説し、日本企業にも求められる対策や、そのために有効なソリューションをご紹介します。 今後発動が早まる可能性もあり、延期となった上でも引き続き注目すべき内容ですので、ぜひご参加ください。

    関連コンテンツのご紹介

    BIS「50%ルール」を念頭に置いた経済安全保障におけるリスク管理の再構築とは

    米国輸出規制強化と対中政策の行方とは。BIS「50%ルール」の実務影響や中国関連リスクの可視化を解説。

    EY ストラテジー・アンド・コンサルティング株式会社

    なぜ今、企業は経済安全保障リスクに備えるべきなのか ─ 米国・中国をめぐる規制強化とOSINTの実践的活用法

    米中対立を背景に、企業を取り巻く経済安全保障リスクが急速に拡大しています。こうした状況を受け、「OSINTを活用した経済安全保障管理」をテーマにセミナーを開催。本レポートでは、CFIUSの最新動向や日本企業への影響、米国政府も導入しているOSINTツールの活用法など、当日のセミナー内容をお届けします。

    EY ストラテジー・アンド・コンサルティング株式会社

      EYの関連サービス

      • OSINTを活用した経済安全保障意思決定支援コンサルティング

        今やOSINT(Open Source Intelligence)プラットフォームの活用は、経済安全保障に係る意思決定に不可欠です。 EYストラテジー・アンド・コンサルティング(以下、EYSC)の ストラテジック インパクトでは、これまでに培ってきた日本や諸外国の経済安全保障に関連する政策情報とOSINTを活用して、企業・政府の意思決定を支援いたします。

        続きを読む

      • 経済安全保障戦略策定 ― Geoeconomics Strategy

        EYでは経済安全保障の政策動向について、各国のルールや新常識の動向を収集・分析し、⽇本に影響を及ぼし得るシナリオと想定される経営リスクを常時モニタリングし、機会に転じる経営戦略の策定からビジネスモデル改革、サプライチェーン改革、サイバーセキュリティ体制の構築まで、⽇本政府や企業・業界団体などに対してさまざまな提⾔や支援を⾏っています。

        続きを読む

      • 経済安全保障推進法に基づく基幹インフラ役務の安定的な供給の確保に関する制度対応・サプライチェーン戦略策定支援

        2023年11月に特定社会基盤事業者が各省庁により指定され、対象事業者には2024年5月17日から特定重要設備等の導入に際し、委託先企業やその役員の国籍情報等の提供、サイバーセキュリティ対策、物理対策などを実施した上で事前審査が求められます。審査に通過できない場合、特定重要設備の導入等ができず、事業に大きな影響を来たします。EYは制度の主旨および経済安保対応のグローバルスタンダードに基づく独自の水準を用いて、政府審査に通過するための支援を行います。

        続きを読む

      • ストラテジック インパクト

        世界は新たな秩序を競う合う時代に突入しています。EYでは、さまざまなステークホルダーとともに、日本から新たな秩序を形成する活動を展開することと並行し、新たな秩序に適合した企業経営の実践をサポートします。

        続きを読む

      この記事について

      菊池 咲
      菊池 咲
      EYストラテジー・アンド・コンサルティング株式会社 ストラテジック インパクト マネージャー
      金融機関勤務を経て安全保障の世界へ。コンサルタントとして、ビジネスと安保をつなぐ。フェミニスト。
      関連トピック
      コンサルティング
      地政学戦略
      リスク

      EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。