取引先のサイバー対策、把握は3割どまりの衝撃と新評価制度
はじめに
日本経済新聞が主要企業を対象に実施した「社長100人アンケート」によると、取引先のサイバー対策状況を管理・把握している企業は約3割にとどまることが明らかになりました。
近年、取引先を踏み台にしたサイバー攻撃が相次いでおり、サプライチェーン全体でのセキュリティ強化が急務となっています。こうした状況を受けて、経済産業省は2026年度から企業のサイバー対策を「★3〜★5」の3段階で評価する新制度を開始する予定です。
この記事では、取引先のサイバー対策把握の現状と課題、新評価制度の概要、そして企業が今から取り組むべき対策について解説します。
サプライチェーン攻撃の脅威
急増するサプライチェーン攻撃
サプライチェーン攻撃とは、攻撃者が本来のターゲット企業ではなく、セキュリティ対策が手薄な取引先や子会社を経由して侵入する攻撃手法です。IPA(情報処理推進機構)の「情報セキュリティ10大脅威」では、2023年から2025年にかけて2位にランクインしており、その深刻さが示されています。
サプライチェーン攻撃の件数は2022年から2023年にかけて1.5倍に増加しており、2024年もこの傾向は続いています。
被害事例:トヨタ工場の稼働停止
最も象徴的な事例は、2022年3月1日のトヨタ自動車の国内全工場稼働停止です。取引先の部品メーカーである小島プレス工業のサーバーがサイバー攻撃を受けたことで、トヨタの14工場28ラインが停止し、約1万3,000台の生産に遅れが生じました。
この事件は、大企業であっても取引先のセキュリティ対策が不十分であれば甚大な被害を受けることを如実に示しました。
2024年最大規模の情報漏洩
2024年5月には、全国の自治体や企業から印刷・情報処理業務を受託していた業者がランサムウェア攻撃を受け、少なくとも約150万件の個人情報が漏洩した可能性が報告されています。
攻撃の起点はVPN機器の脆弱性でした。攻撃者はVPN経由でネットワークに侵入し、機密データを窃取した後、ランサムウェアを展開してサーバーやPCを暗号化しました。
「サイバードミノ」の実態
経済産業省の調査によると、過去3年間にサイバー攻撃の被害に遭った中小企業のうち、約7割が取引先にも影響が及んだ「サイバードミノ」が発生しています。
サプライチェーン攻撃の最も恐ろしい点は、攻撃を受けた企業が被害者でありながら「加害者」にもなる点です。自社から取引先の機密情報が漏洩すれば、企業の社会的信用の低下や金銭面での多大な損害は免れません。
取引先サイバー対策の把握状況
約3割しか把握していない現実
主要企業を対象としたアンケート調査によると、取引先のサイバー対策状況を管理・把握している企業は約3割にとどまっています。残りの7割は、取引先がどの程度のセキュリティ対策を実施しているか十分に把握できていない状態です。
具体的な対策としては、「認証取得を促している」「セキュリティレーティングツール等を導入運用している」「取引先チェックシートによる自己点検を行っている」と回答した企業が27.5%でした。また、「契約書によって縛りを設けている」と回答した経営層が30.0%と最も多い結果となっています。
把握が困難な理由
取引先のセキュリティ評価における最大の課題として、大手企業の情報システム部門の約半数(47.1%)が「評価項目の網羅性・最新性」と「外部環境の変化に応じた定期的更新の困難さ」を挙げています。
また、各社が独自のチェックリストで確認を行っているため、統一的な基準がないことも問題です。受注企業側からは、「異なる取引先から様々な対策水準を要求される」という声も上がっています。
中小企業のセキュリティ体制の脆弱性
約7割の中小企業において組織的なセキュリティ体制が整備されていないという調査結果もあります。発注元企業から情報セキュリティに関する要請を受けた経験がある企業の割合は1割強に過ぎません。
要請された対策の実施に向けた課題としては、「対策費用の用意、費用負担の検討」(51.3%)、「販売先との契約内容の明確化」(47.0%)、「専門人材の確保・育成」(32.9%)が挙げられています。
経産省の新評価制度「★3〜★5」
制度の概要
こうした課題に対応するため、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築を進めています。2025年4月に中間取りまとめを公表し、2025年12月には制度構築方針(案)を公表して意見公募を行いました。
本制度は2026年度(令和8年度)末頃の開始を目指しており、各企業のセキュリティ対策レベルを「★3〜★5」の3段階で評価・可視化します。
評価段階の詳細
★1〜★2(SECURITY ACTIONとの連携)
★1、★2については、中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言するIPAの制度「SECURITY ACTION」と連携することが検討されています。
★3(Basic)
全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として位置づけられています。基礎的なシステム防御策と体制整備を中心に、自己評価で25項目を実施します。
評価項目は以下の7分野で構成されています。
- ガバナンスの整備
- 取引先管理
- リスクの特定
- 攻撃等の防御
- 攻撃等の検知
- インシデントへの対応
- インシデントからの復旧
★4・★5
より高度なセキュリティ対策を実施している企業向けの評価段階です。詳細な評価項目は今後公表される予定です。
取引への影響
本制度の運用開始は2026年10月からと検討されています。発注者は受注者のセキュリティ対策状況が可視化されることで、比較的少ない労力でリスク管理ができるようになります。
一方で、早ければ2027年度の取引条件として本制度が参照される可能性があります。求められる評価段階に満たない企業は、取引機会を失うなどの不利益を被る恐れがあります。
企業が今から取り組むべきこと
現状把握と課題の洗い出し
まずは自社のセキュリティ対策の現状を正確に把握することが重要です。★3の25評価項目を参考に、以下の観点から自己診断を行いましょう。
- セキュリティポリシーの策定状況
- インシデント対応体制の整備
- 従業員へのセキュリティ教育
- ウイルス対策ソフト等の導入状況
- バックアップ体制
- アクセス権限の管理
取引先とのコミュニケーション
発注側企業は、取引先に対してセキュリティ対策の重要性を伝え、新制度への対応を促すことが求められます。ただし、一方的に高い基準を押し付けるのではなく、対話を通じてサプライチェーン全体のセキュリティレベルを底上げする姿勢が重要です。
受注側企業は、発注元からの要請を待つのではなく、自主的にセキュリティ対策を強化し、その状況を積極的に開示することで信頼を獲得できます。
中小企業向け支援の活用
経済産業省とIPAでは、2026年春頃から「サイバーセキュリティお助け隊サービス」(新類型)の実証事業を開始する予定です。この事業では、中小企業に対して★3または★4取得のためのサービスを試行的に提供します。
予算や人員が限られる中小企業は、こうした支援策を積極的に活用することをお勧めします。
制度への認知と準備
IIJの調査によると、従業員500名以上の企業では約50%が新制度を認知し準備を進めているのに対し、500名未満の企業では約30%が制度自体を知らないという結果が出ています。
まずは制度の概要を理解し、自社が★3の要件を満たしているか確認することから始めましょう。
今後の展望と課題
セキュリティの「見える化」時代へ
新評価制度の導入により、企業のセキュリティ対策が「客観評価」される時代が到来します。これまで外部から判断が難しかったセキュリティ対策の状況が可視化されることで、取引先選定の重要な判断材料となります。
残る課題
一方で、いくつかの課題も指摘されています。
まず、評価の信頼性です。自己評価が中心となる★3では、評価の正確性をどう担保するかが課題となります。
次に、コストと人材の問題です。特に中小企業では、セキュリティ対策への投資余力や専門人材の確保が難しい状況が続いています。
また、制度の普及も課題です。サプライチェーン全体のセキュリティ向上には、大企業だけでなく中小企業を含めた幅広い参加が不可欠です。
2025年の脅威予測
2025年は、ランサムウェアとサプライチェーン攻撃がさらに高度化・増加し、AI技術を悪用した攻撃も予測されています。新評価制度の導入を待たずに、今すぐセキュリティ対策の強化に着手することが求められます。
まとめ
取引先のサイバー対策状況を把握している企業が約3割にとどまる現状は、サプライチェーン全体のセキュリティにとって大きなリスクです。サプライチェーン攻撃の被害は年々拡大しており、「サイバードミノ」により取引先にまで影響が及ぶケースも増えています。
2026年度から始まる経産省の新評価制度は、この課題に対する一つの解決策となり得ます。★3〜★5の3段階評価により、企業のセキュリティ対策が可視化され、サプライチェーン全体の防衛力向上が期待されます。
企業は今から、自社のセキュリティ対策の現状把握、取引先とのコミュニケーション、中小企業向け支援の活用などを通じて、新制度への準備を進めることが重要です。
参考資料:
関連記事
アサヒへのサイバー攻撃、業界「共倒れ」の教訓
アサヒグループへのランサムウェア攻撃は、ライバル企業を含む飲料業界全体に混乱を引き起こしました。サプライチェーンの脆弱性が露呈した事件の経緯と、企業が学ぶべき教訓を解説します。
G7がレアアースの中国依存低減で協調、閣僚級協議開催
G7財務相と資源国の閣僚がワシントンで重要鉱物に関する協議を開催。レアアースの中国依存度引き下げに向けたサプライチェーン整備で一致しました。価格フロア設定や代替供給源の確保が議論されています。
グーグルがベトナムでスマホ開発へ、脱中国が加速
グーグルが2026年からベトナムでスマートフォンの開発・生産を開始します。アップルもインドへの生産移管を加速しており、米IT大手の脱中国サプライチェーン構築が本格化しています。
日用品卸大手3社が物流連携、コンテナ統一でトラック3割減へ
花王グループカスタマーマーケティング、PALTAC、あらたの日用品卸大手3社が納品コンテナを統一。運転手不足が深刻化する中、回収トラックを3割削減する物流効率化の取り組みを解説します。
G7がレアアース脱中国で結束、最低価格制度も検討へ
G7と資源国の財務相がワシントンで会合を開き、レアアースなど重要鉱物の中国依存低減で一致しました。中国の対日輸出規制が強化される中、最低価格制度の導入や新市場創設など具体策の検討が進んでいます。
最新ニュース
南鳥島でレアアース試掘開始・中国依存脱却への挑戦
探査船「ちきゅう」が南鳥島沖でレアアース泥の試掘を開始。水深6000メートルからの世界初の採掘試験と、日本の経済安全保障における意義を解説します。
1年4カ月で国政選挙3回、頻繁な選挙が招く政策停滞
高市首相が通常国会冒頭での衆院解散を検討。国政選挙が短期間に3回目となり、社会保障改革など長期的視点の政策が後回しになる懸念が高まっています。
第174回芥川賞・直木賞が決定、3氏が受賞の栄誉
第174回芥川賞に鳥山まこと氏「時の家」と畠山丑雄氏「叫び」、直木賞に嶋津輝氏「カフェーの帰り道」が決定。前回の両賞該当なしから一転、充実の受賞作が揃いました。受賞作の魅力と作家の経歴を詳しく解説します。
日本人創業のアルパカがユニコーンに、米国初の快挙
証券取引APIを提供するフィンテック企業アルパカが企業価値10億ドルを突破。日本人だけで創業した新興企業として米国初のユニコーン達成の背景を解説します。
三六協定の締結率5割どまり、残業規制緩和の是非を問う
三六協定を締結している事業所は5割にとどまり、残業規制緩和の議論が活発化しています。働き方改革の効果と今後の労働政策の方向性について、最新データをもとに解説します。