レガシーシステムによるサプライチェーンへの影響

レガシーシステムが抱えるセキュリティリスクとサプライチェーンへの影響

レガシーシステムとは、長年にわたり使用されてきた基幹システムの総称です。導入から年月が経過したシステムは内部構造がブラックボックス化しやすく、仕様を把握できる技術者も限られてきます。セキュリティパッチの適用が困難になれば、既知の脆弱性が放置されたまま運用が続くことになりかねません。

維持コストの増大やセキュリティ更新の遅れは、サイバー攻撃の標的となるリスクを高めます。攻撃が成功した場合、情報漏えいやシステム停止といった深刻な被害につながる可能性も否定できません。

注意すべきは、こうしたリスクが自社内にとどまらない点です。自社のレガシーシステムが攻撃の踏み台になると、被害は取引先や関連企業にまで拡大しかねません。セキュリティ対策が手薄な企業を起点に、サプライチェーン全体へ不正アクセスやマルウェアが広がるケースも確認されています。レガシーシステムのセキュリティリスクは、他社にも影響を及ぼす問題として認識する必要があります。

レガシーシステム脱却に向けた国の取り組み

経済産業省は2018年に「DXレポート」を公表し、「2025年の崖」という課題を提起しました。レガシーシステムを放置した場合、2025年以降に年間最大12兆円の経済損失が生じるリスクがあると指摘されています。

2024年度には「レガシーシステムモダン化委員会」が設置され、2025年5月に総括レポートが公表されました。企業の経営層や情報システム部門の責任者、ベンダー企業等に向けた提言が整理されており、モダナイゼーションは国の政策レベルで推進されています。企業にとっても、レガシーシステムへの対応は優先度の高い経営課題となっている状況です。

参照元：経済産業省｜ITシステム「2025年の崖」の克服と DXの本格的な展開（https://www.meti.go.jp/policy/it_policy/dx/20180907_02.pdf）

参照元：経済産業省｜レガシーシステム脱却に向けた「レガシーシステムモダン化委員会総括レポート」を取りまとめました（https://www.meti.go.jp/press/2025/05/20250528003/20250528003.html）

VPNなど境界型防御の限界

従来の境界型セキュリティは、社内と外部のネットワーク間にVPN等の防御壁を設ける仕組みです。一度認証を通過すれば、ネットワーク内部のリソースに広くアクセスできることが前提となっています。リモートワークの普及に伴いVPN装置への負荷が増大し、通信速度が低下する課題も顕在化しました。

VPN装置自体が攻撃を受けた場合、社内ネットワーク全体へのアクセスを許してしまう危険性があります。拠点ごとに機器管理が必要になる点も、運用負荷を高める要因です。

境界型防御は「一度認証すれば内部を信頼する」前提で設計されているため、侵入後のラテラルムーブメント（横移動）を防ぎにくい構造です。マルウェアやランサムウェアがネットワーク内部で拡散するリスクは、レガシーシステムの脆弱性と相まって一層深刻になります。VPNを中心とした境界型防御だけでは、現在のサイバー脅威に十分対応しきれない状況が広がっています。

ゼロトラストアーキテクチャへの転換を考慮すべき理由

ゼロトラストとは「決して信頼せず、常に検証する」という考え方に基づくセキュリティモデルです。境界型セキュリティとの違いは、社内のネットワーク機器や社員も含め、すべてのアクセスをリスクの対象として認証・監視を行う点にあります。

ゼロトラストでは、アクセス要求のたびに経路を確保し都度認証を行うことで、不正アクセスの防止につなげます。クラウド上の仲介システムを活用すれば管理の集約と経路の最適化も実現しやすくなり、拠点やデバイスの増減に柔軟に対応できるスケーラビリティも特長です。

ゼロトラスト移行での注意点として、短期間で全て行うことは難しい点が挙げられます。既存のITアーキテクチャを基盤とした段階的な取り組みとなるでしょう。レガシーシステムのモダナイゼーションと並行してゼロトラストへの転換を検討することで、セキュリティ基盤の強化と業務効率の改善を同時に進められる可能性があります。

まとめ

レガシーシステムのセキュリティリスクは、自社だけでなくサプライチェーン全体に影響を及ぼす可能性があります。経済産業省をはじめ、国もモダナイゼーションを政策として推進しており、企業にとって対応の優先度は高まっています。VPN等の境界型防御だけに頼るのではなく、ゼロトラストアーキテクチャへの転換も視野に入れ、段階的なシステム刷新の検討を始めることが重要です。