取引先のサイバー対策、把握は3割どまりの衝撃と新評価制度
はじめに
日本経済新聞が主要企業を対象に実施した「社長100人アンケート」によると、取引先のサイバー対策状況を管理・把握している企業は約3割にとどまることが明らかになりました。
近年、取引先を踏み台にしたサイバー攻撃が相次いでおり、サプライチェーン全体でのセキュリティ強化が急務となっています。こうした状況を受けて、経済産業省は2026年度から企業のサイバー対策を「★3〜★5」の3段階で評価する新制度を開始する予定です。
この記事では、取引先のサイバー対策把握の現状と課題、新評価制度の概要、そして企業が今から取り組むべき対策について解説します。
サプライチェーン攻撃の脅威
急増するサプライチェーン攻撃
サプライチェーン攻撃とは、攻撃者が本来のターゲット企業ではなく、セキュリティ対策が手薄な取引先や子会社を経由して侵入する攻撃手法です。IPA(情報処理推進機構)の「情報セキュリティ10大脅威」では、2023年から2025年にかけて2位にランクインしており、その深刻さが示されています。
サプライチェーン攻撃の件数は2022年から2023年にかけて1.5倍に増加しており、2024年もこの傾向は続いています。
被害事例:トヨタ工場の稼働停止
最も象徴的な事例は、2022年3月1日のトヨタ自動車の国内全工場稼働停止です。取引先の部品メーカーである小島プレス工業のサーバーがサイバー攻撃を受けたことで、トヨタの14工場28ラインが停止し、約1万3,000台の生産に遅れが生じました。
この事件は、大企業であっても取引先のセキュリティ対策が不十分であれば甚大な被害を受けることを如実に示しました。
2024年最大規模の情報漏洩
2024年5月には、全国の自治体や企業から印刷・情報処理業務を受託していた業者がランサムウェア攻撃を受け、少なくとも約150万件の個人情報が漏洩した可能性が報告されています。
攻撃の起点はVPN機器の脆弱性でした。攻撃者はVPN経由でネットワークに侵入し、機密データを窃取した後、ランサムウェアを展開してサーバーやPCを暗号化しました。
「サイバードミノ」の実態
経済産業省の調査によると、過去3年間にサイバー攻撃の被害に遭った中小企業のうち、約7割が取引先にも影響が及んだ「サイバードミノ」が発生しています。
サプライチェーン攻撃の最も恐ろしい点は、攻撃を受けた企業が被害者でありながら「加害者」にもなる点です。自社から取引先の機密情報が漏洩すれば、企業の社会的信用の低下や金銭面での多大な損害は免れません。
取引先サイバー対策の把握状況
約3割しか把握していない現実
主要企業を対象としたアンケート調査によると、取引先のサイバー対策状況を管理・把握している企業は約3割にとどまっています。残りの7割は、取引先がどの程度のセキュリティ対策を実施しているか十分に把握できていない状態です。
具体的な対策としては、「認証取得を促している」「セキュリティレーティングツール等を導入運用している」「取引先チェックシートによる自己点検を行っている」と回答した企業が27.5%でした。また、「契約書によって縛りを設けている」と回答した経営層が30.0%と最も多い結果となっています。
把握が困難な理由
取引先のセキュリティ評価における最大の課題として、大手企業の情報システム部門の約半数(47.1%)が「評価項目の網羅性・最新性」と「外部環境の変化に応じた定期的更新の困難さ」を挙げています。
また、各社が独自のチェックリストで確認を行っているため、統一的な基準がないことも問題です。受注企業側からは、「異なる取引先から様々な対策水準を要求される」という声も上がっています。
中小企業のセキュリティ体制の脆弱性
約7割の中小企業において組織的なセキュリティ体制が整備されていないという調査結果もあります。発注元企業から情報セキュリティに関する要請を受けた経験がある企業の割合は1割強に過ぎません。
要請された対策の実施に向けた課題としては、「対策費用の用意、費用負担の検討」(51.3%)、「販売先との契約内容の明確化」(47.0%)、「専門人材の確保・育成」(32.9%)が挙げられています。
経産省の新評価制度「★3〜★5」
制度の概要
こうした課題に対応するため、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築を進めています。2025年4月に中間取りまとめを公表し、2025年12月には制度構築方針(案)を公表して意見公募を行いました。
本制度は2026年度(令和8年度)末頃の開始を目指しており、各企業のセキュリティ対策レベルを「★3〜★5」の3段階で評価・可視化します。
評価段階の詳細
★1〜★2(SECURITY ACTIONとの連携)
★1、★2については、中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言するIPAの制度「SECURITY ACTION」と連携することが検討されています。
★3(Basic)
全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として位置づけられています。基礎的なシステム防御策と体制整備を中心に、自己評価で25項目を実施します。
評価項目は以下の7分野で構成されています。
- ガバナンスの整備
- 取引先管理
- リスクの特定
- 攻撃等の防御
- 攻撃等の検知
- インシデントへの対応
- インシデントからの復旧
★4・★5
より高度なセキュリティ対策を実施している企業向けの評価段階です。詳細な評価項目は今後公表される予定です。
取引への影響
本制度の運用開始は2026年10月からと検討されています。発注者は受注者のセキュリティ対策状況が可視化されることで、比較的少ない労力でリスク管理ができるようになります。
一方で、早ければ2027年度の取引条件として本制度が参照される可能性があります。求められる評価段階に満たない企業は、取引機会を失うなどの不利益を被る恐れがあります。
企業が今から取り組むべきこと
現状把握と課題の洗い出し
まずは自社のセキュリティ対策の現状を正確に把握することが重要です。★3の25評価項目を参考に、以下の観点から自己診断を行いましょう。
- セキュリティポリシーの策定状況
- インシデント対応体制の整備
- 従業員へのセキュリティ教育
- ウイルス対策ソフト等の導入状況
- バックアップ体制
- アクセス権限の管理
取引先とのコミュニケーション
発注側企業は、取引先に対してセキュリティ対策の重要性を伝え、新制度への対応を促すことが求められます。ただし、一方的に高い基準を押し付けるのではなく、対話を通じてサプライチェーン全体のセキュリティレベルを底上げする姿勢が重要です。
受注側企業は、発注元からの要請を待つのではなく、自主的にセキュリティ対策を強化し、その状況を積極的に開示することで信頼を獲得できます。
中小企業向け支援の活用
経済産業省とIPAでは、2026年春頃から「サイバーセキュリティお助け隊サービス」(新類型)の実証事業を開始する予定です。この事業では、中小企業に対して★3または★4取得のためのサービスを試行的に提供します。
予算や人員が限られる中小企業は、こうした支援策を積極的に活用することをお勧めします。
制度への認知と準備
IIJの調査によると、従業員500名以上の企業では約50%が新制度を認知し準備を進めているのに対し、500名未満の企業では約30%が制度自体を知らないという結果が出ています。
まずは制度の概要を理解し、自社が★3の要件を満たしているか確認することから始めましょう。
今後の展望と課題
セキュリティの「見える化」時代へ
新評価制度の導入により、企業のセキュリティ対策が「客観評価」される時代が到来します。これまで外部から判断が難しかったセキュリティ対策の状況が可視化されることで、取引先選定の重要な判断材料となります。
残る課題
一方で、いくつかの課題も指摘されています。
まず、評価の信頼性です。自己評価が中心となる★3では、評価の正確性をどう担保するかが課題となります。
次に、コストと人材の問題です。特に中小企業では、セキュリティ対策への投資余力や専門人材の確保が難しい状況が続いています。
また、制度の普及も課題です。サプライチェーン全体のセキュリティ向上には、大企業だけでなく中小企業を含めた幅広い参加が不可欠です。
2025年の脅威予測
2025年は、ランサムウェアとサプライチェーン攻撃がさらに高度化・増加し、AI技術を悪用した攻撃も予測されています。新評価制度の導入を待たずに、今すぐセキュリティ対策の強化に着手することが求められます。
まとめ
取引先のサイバー対策状況を把握している企業が約3割にとどまる現状は、サプライチェーン全体のセキュリティにとって大きなリスクです。サプライチェーン攻撃の被害は年々拡大しており、「サイバードミノ」により取引先にまで影響が及ぶケースも増えています。
2026年度から始まる経産省の新評価制度は、この課題に対する一つの解決策となり得ます。★3〜★5の3段階評価により、企業のセキュリティ対策が可視化され、サプライチェーン全体の防衛力向上が期待されます。
企業は今から、自社のセキュリティ対策の現状把握、取引先とのコミュニケーション、中小企業向け支援の活用などを通じて、新制度への準備を進めることが重要です。
参考資料:
関連記事
アサヒへのサイバー攻撃、業界「共倒れ」の教訓
アサヒグループへのランサムウェア攻撃は、ライバル企業を含む飲料業界全体に混乱を引き起こしました。サプライチェーンの脆弱性が露呈した事件の経緯と、企業が学ぶべき教訓を解説します。
中国の対日経済威圧は逆効果か、脱依存が加速
中国が日本企業20社への輸出規制を発動。レアアースを武器にした経済的威圧の実態と、日本のサプライチェーン再構築・代替技術開発の動きを詳しく解説します。
AI半導体の産業力底上げへ、政府が3拠点を整備
政府がAI半導体の設計・試作を支援する共用拠点を国内3カ所に整備。TSMCやラピダスを核に、設計ソフトや開発機器を新興企業や大学に開放し、半導体エコシステムの構築を目指します。
政府がAI半導体の産業集積へ国内3拠点を整備
政府がAI向け半導体の設計・製造装置・素材分野で国内3拠点を整備へ。TSMC・ラピダスを核にした産業集積戦略と1600億円の設計支援策を解説します。
レアアース最大手Lynas、純利益14倍の背景と今後の展望
オーストラリアのレアアース最大手Lynas Rare Earthsが2025年下半期に純利益14倍を達成。相場上昇と生産拡大の要因、中国依存脱却の動向、サプライチェーン多様化の最新状況を解説します。
最新ニュース
中国全人代を前に習近平の軍粛清が止まらない理由
3月の全人代開催を控え、習近平政権による軍高官の粛清が加速しています。張又侠の失脚、100人超の将校排除の背景と、人民解放軍への深刻な影響を解説します。
「ECの死」到来か、AIショッピングエージェントの破壊力
「SaaSの死」に続き「ECの死」が叫ばれています。AIショッピングエージェントがECビジネスをどう変えるのか、AmazonとWalmartの異なる戦略から読み解きます。
ハイアット東京を1260億円で取得、REIT最大規模
ジャパン・ホテル・リートがハイアットリージェンシー東京を国内REIT史上最大の1260億円で取得。好調なインバウンド需要を背景に、ホテル投資市場が過去最高を更新する中での大型案件を解説します。
メキシコが週40時間労働へ憲法改正、残業超過で3倍賃金の衝撃
メキシコが週40時間労働への憲法改正を承認。残業超過で3倍賃金の義務化が日本企業の製造拠点に与える影響と対応策を、段階的スケジュールとともに解説します。
楽天グループが金融3社統合へ、10月めど再編の全容
楽天グループが楽天銀行・楽天カード・楽天証券の金融3社を2026年10月をめどに統合する再編計画を発表。金利上昇時代の競争激化を背景に、エコシステム強化とコスト削減を狙う大型再編の詳細と課題を解説します。