1. 概要

 現代のビジネスネットワークにおいて、中小企業はサプライチェーン全体を支える不可欠な存在である一方、サイバーセキュリティ上の標的にもなっています。「鎖(チェーン)全体の強さは、最も弱い環(リンク)の強さで決まる」という考え方のとおり、大企業が多層防御を構築していても、防御が手薄な取引先が侵入経路(踏み台)として悪用されれば、ネットワーク全体の防御は機能しなくなります。
 IPA(独立行政法人情報処理推進機構)が公表した「情報セキュリティ10大脅威 2026(組織分野)」では、「サプライチェーンや委託先を狙った攻撃」がランサムウェアに次ぐ第2位に位置付けられています。1社の中小企業で発生した侵害が、親会社や重要インフラ、医療機関などへ波及し、社会機能に深刻な影響を及ぼすリスクが現実のものとなっています。こうした連鎖的な被害を防ぐため、日本ではサプライチェーン全体のセキュリティ水準を底上げし、取引先を含めたリスク管理を強化することを目的とした「サプライチェーン強化に向けたセキュリティ対策評価制度」の導入が進められています。本制度は、個別企業の防御にとどまらず、供給網全体の信頼性を支える社会的基盤としての役割を担います。
 本記事では、本制度の概要に加え、その活用によるメリットや、企業が取るべき具体的なアクションについて解説します。

 

2. サプライチェーンの弱点とそれを狙ったサイバー攻撃

 サプライチェーン(供給網)とは、製品の原料調達から製造、在庫管理、配送、そして最終的に消費者の手元に届くまでの一連のプロセスを指します。
 現代のビジネスは単一企業で完結することは少なく、多くの協力会社やサービスプロバイダーと連携することで成り立っています。この「つながり」のいずれか1カ所が攻撃されると、ドミノ倒しのように影響が連鎖的に拡大します。

過去被害事例

①アサヒグループホールディングスのランサムウェア攻撃
 2025年9月、日本の大手飲料メーカーであるアサヒグループホールディングスがランサムウェア攻撃を受け、国内の注文・出荷関連システムが停止しました。
 受注、出荷管理、コールセンターなどのITシステムが停止し、電話やFAXによる手動対応への切り替えを余儀なくされるなど、サプライチェーン全体に大きな影響が生じました。
 本件は製造・物流・販売まで影響が波及した典型的なサプライチェーン攻撃の事例です。
 
②無印良品などEC・小売への波及事例
 2025年には、物流パートナー企業のランサムウェア被害により、生活雑貨ブランド「無印良品」を含む複数小売企業のオンライン販売が一時停止する事例が発生しました。
 無印良品などでは、ECサイト閲覧・注文処理・出荷といった機能が停止し、オンライン売上の減少や顧客への影響が報じられました。
 本事例は、「自社が攻撃されていなくても、取引先の障害によって事業が停止する」典型例といえます。
 
 これらの事例は、いずれも単一企業の被害が取引網全体に波及した典型例であり、サプライチェーン統制の難しさを示しています。こうした日本企業を取り巻くリスク環境を踏まえ、経済産業省による「サプライチェーン強化に向けたセキュリティ対策評価制度」の導入が進められています。

 

3. サプライチェーン強化に向けたセキュリティ対策評価制度とは

 本制度は、経済産業省が策定した指針に基づき、企業のセキュリティ対策状況を標準化された指標(★3〜★5)で評価し、サプライチェーン全体の対策水準を可視化する仕組みです。本制度の活用により、適切なセキュリティ対策の選定や、対策状況の説明が容易かつ適切に行えるようになることが期待されます。また、取引先におけるセキュリティ対策が適切に実装されることで、発注企業のサプライチェーンリスクの低減に加え、経済・社会全体のサイバーレジリエンス強化が期待されます。

3-1. 評価制度(案)の概要

★3 (Basic):
 全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的なシステム防御策と体制整備を中心に実施する段階。
 
★4 (Standard):
 サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知及びインシデント対応等包括的な対策を実施する段階。
 
★5 (Advanced):
 サプライチェーン企業等が到達点として目指すべき対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施する段階。
 
 本制度における各段階の想定される脅威や対策の考え方などの概要は下表の通りです。

表1 段階別評価の概要

2026_3_secnews1

3-2. 評価制度で用いるセキュリティ要求事項・評価基準

 段階別評価の各段階(★3〜★4)における、要求事項・評価基準について、以下の7分野が設定されています。
 また、要求事項・評価基準は、サイバーセキュリティの動向等を踏まえ、今後定期的な見直しが想定されています。
 
  1.ガバナンスの整備:法令・契約を遵守した管理体制を確立し、経営主導で継続的な改善を図る。
  2.取引先管理:取引先との関係性に応じた責任範囲を明確化し、委託先を含めた情報保護を徹底する。
  3.リスクの特定:IT資産の正確な把握と、脆弱性管理プロセスに基づくリスク低減を徹底する。
  4.攻撃等の防御:物理・技術の両面から防御・検知体制を構築し、組織全体の対応力を高める。
  5.攻撃等の検知:モニタリング体制を確立し、迅速な対応の起点となるインシデント定義を明確化する。
  6.インシデントへの対応:迅速な被害拡大防止と復旧を実現するため、対応手順および連絡体制を明確化する。
  7.インシデントからの復旧:事業継続要件に基づき、重要システムの迅速な復旧体制を確立する。

 

4. 評価制度の活用とサプライチェーンレジリエンス強化

 本制度を活用することで、サプライチェーン上の脆弱な箇所を可視化し、早期に対策を講じることが可能となり、連鎖被害リスクを抑制できます。
 また客観的な評価指標により、経営層への説明や投資判断も行いやすくなります。

4-1. 評価制度活用の主なメリット

 1.取引先からの信頼向上
 セキュリティの可視化は、顧客に対する誠実さの証明になります。「価格」だけでなく、「共にリスクに向き合うパートナー」として信頼を築くことで、長期的な関係の維持・強化につながります。
 
 2.サプライチェーン全体のレジリエンス強化
 共通指標により取引先の水準を把握し、脆弱な箇所(弱い環)を早期に改善できます。これにより、連鎖的な被害リスクを抑制し、サプライチェーン全体の強靭化を図ることが可能です。
 
 3.経営層への説得力ある説明材料の確保
 客観的な格付けや評価結果を用いることで、セキュリティ投資の必要性を論理的に説明できます。これにより、迅速な意思決定を促し、予算確保や体制強化の後押しになります。
 
 4.初期コストと運用負荷の軽減
 資産棚卸等の負担は避けられませんが、「サイバーセキュリティお助け隊サービス」のような安価・簡便な支援策やIT導入補助金制度が設けられており、これらを活用することで、専門知識を持つ人材が不足している企業でも、コストを抑えつつ運用の自動化やアウトソーシングを通じた円滑な導入・継続的な対策を実現できます。
 
 5.有事の際の責任分界点の明確化と迅速な復旧
 共通の評価制度を導入しておくことで、事故発生時の責任分界点が明確になります。これにより、有事でも迅速な情報共有と復旧作業が可能となり、社会的信用の失墜を最小限に抑えられます。
 

4-2. 持続可能なサプライチェーンレジリエンスの構築に向けてのアクション

 昨今の不透明なサイバー脅威に対し、サプライチェーン全体のレジリエンスを確保することは、個社の課題を超えた社会共通の課題です。
 「サプライチェーン強化に向けたセキュリティ対策評価制度」では、受注側・発注側の双方が、セキュリティを単なる「コスト」ではなく、サプライチェーン全体の信頼を支える共通基盤として捉えることを目指します。
 以下に、持続可能なサプライチェーンを構築するために、受注側・発注側それぞれが取るべきアクションについて紹介します。
 
【受注側(中小企業)のアクション】
セキュリティをコストではなく、信頼と事業継続のための投資と考えて行動する。
 
・セキュリティ格付け「★3」の早期達成と標準品質化
 評価制度の「★3」レベルを最短目標に設定し、「ルール・備え・対策」を徹底して行い、これらを「組織の標準品質」として確立することで、発注会社や顧客とのセキュリティ面での信頼を高めます。
・外部委託による効率的な防御体制の維持
 外部SOCやマネージドEDR等の専門サービスを戦略的に活用。自社リソースを最適化しながら、24時間365日の高度な監視体制を維持し、サプライチェーンの停止リスクを最小化します。
・安全性による「信頼されるパートナー」への成長
 強固なセキュリティ体制を「発注会社への信頼」へと昇華させます。発注側と共にサプライチェーン全体の安全を守る一員として、安定的な価値提供に貢献する存在を目指します。
 

【発注側(大企業)のアクション】
伴走型支援で、サプライチェーン全体のレジリエンスを高める。
 
・ガバナンスへの正式な組み込みと共通指標の活用
 本評価制度を調達基準やガバナンスの枠組みに統合します。主観的な判断ではなく、共通の指標(★3など)を用いることで、透明性が高く、相互に納得感のある評価体制を構築します。
・「要求」から「支援」へのマインドセット転換
 セキュリティ要件を一方的に課すのではなく、ガイドラインの共有、教育コンテンツや簡易診断ツールの提供といった「伴走型支援」を重視し、供給網全体のレベルアップを後押しします。
・共に高め合う「レジリエンス・コミュニティ」の形成
 共同訓練やリアルタイムの情報共有を通じて、「要求する側・される側」という従来の垣根を越え、「一体となって共に脅威に立ち向かう」姿勢を明確にします。有事の際も支え合える強固なネットワークを構築し、サプライチェーン全体の安全を揺るぎないものにします。
 
 このように、受注側・発注側が連携してセキュリティに取り組むことが、持続可能なサプライチェーンレジリエンス強化につながります。企業は、自社の規模や役割に応じた取り組みを戦略的に活用することで、単なるセキュリティ対策済みの企業にとどまらず、社会から真に信頼され、持続的な成長を共創できるパートナーへと進化できます。
 セキュリティを共通言語とすることで、企業間の結びつきはより強固になり、予期せぬ脅威に対しても供給網全体で柔軟に適応できる揺るぎない信頼基盤が構築されます。

 

5. まとめ

 サプライチェーン攻撃は、セキュリティの弱い中小企業や物流・委託先を起点として、親会社・小売・生活者へと被害が連鎖する構造を持ち、もはや「自社だけ守ればよい」時代ではありません。
 2026年度末頃運用開始予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」は、こうしたリスクに対し、サプライチェーン全体の防御水準を底上げし、共通ルールを整備するための重要な仕組みです。
 企業は、EDRやメールゲートウェイ、脆弱性診断、3-2-1バックアップ、外部SOC連携といった多層防御と併せて、本制度を「取引先評価」と「自社のレベルアップ」の両面で活用することが期待されます。
 中小企業は「弱い環」から安全で信頼される企業へ、大企業は自社防御からサプライチェーン全体のガバナンスへと発想を転換することで、持続可能なサプライチェーンの構築が可能となります。

 

6. 参考文献

[1] 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/pdf/20250414_2.pdf

[2] 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」"
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/

[3] 情報セキュリティ10大脅威 2026
https://www.ipa.go.jp/security/10threats/10threats2026.html

[4] 東京都「サプライチェーン強化に向けたセキュリティ対策評価制度解説」
https://cybersecurity-taisaku.metro.tokyo.lg.jp/tip/security-hyoukaseido1/

[5] アサヒグループホールディングスサイバー攻撃被害の再発防止策とガバナンス体制の強化について
https://www.asahigroup-holdings.com/newsroom/detail/20260218-0101.html

[6] 株式会社良品計画アスクル社のランサムウェア感染による当社顧客情報流出の可能性について
https://www.ryohin-keikaku.jp/news/articles/2025_1114_01

 

7. SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて

 SSKでは総合セキュリティサービスとして、セキュリティ運用監視サービス、脆弱性診断サービス、デジタル・フォレンジックサービスなどのセキュリティサービスを展開しております。
 セキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃対策としてセキュリティ機器を導入しても、継続的な運用監視と分析・判断が伴わなければ十分な効果は得られません。セキュリティ運用監視サービスでは、不審な通信やアラートを継続的に分析し、迅速な通知によって、インシデント発生時に適切に対処できるよう支援いたします。
 脆弱性診断サービスでは、お客様のシステムを診断し、検出された脆弱性への対策をご提案させていただいております。テレワークの常態化やIoT等のデバイスの多様化が進む昨今、特定の攻撃経路だけを想定した「境界防御」に加えて、脆弱性を把握・管理・対処する『本質防御』も必須となっています。脆弱性診断サービスのご活用により、お客様のシステムにおける脆弱性の存否が明らかになります。
 デジタル・フォレンジックサービスでは、万が一のインシデント発生時に、コンピュータやセキュリティ機器などに残された情報を分析し、侵入経路や情報窃取の痕跡等を特定するフォレンジックサービスを提供しております。また、平時の備えとして証拠保全の訓練などを実施する事前アドバイザリーサービスも提供しております。
 これらの総合セキュリティサービスにより、インシデントの予防と、発生時の迅速な対処を両立し、対策コストや被害の抑制に貢献します。

【参考URL】
セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment
デジタル・フォレンジックサービス:
https://www.ssk-kan.co.jp/digital-forensics

 

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
 リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

ssk_logo.pngサービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
       TEL 03-4500-4255
       FAX 03-6824-9977
       sales@ssk-kan.co.jp