レポート
【中小企業こそ要注意!】サプライチェーン攻撃で狙われる理由...。身を守るための方法も解説
中小企業がサプライチェーン攻撃の標的となる理由と具体的な対策を解説。セキュリティ強化のための実践的な方法を紹介します。
サプライチェーンセキュリティ対策評価制度の目的、仕組み、企業が取るべき具体的な対応について解説します。
近年、サイバー攻撃の手口が巧妙化する中で、取引先や業務委託先を足がかりとして侵入を試みるに「サプライチェーン攻撃」が深刻な脅威となっています。
サプライチェーン攻撃においては、どれだけ自社のセキュリティ対策を強化しても、取引先の小さな脆弱性が命取りになりかねません。
この課題に対し、経済産業省及び内閣官房国家サイバー統括室は、サプライチェーン全体のリスクを統一的な基準で管理・評価する新たな制度の構築を進めています。
本記事では、令和8年度末の開始が予定されている「サプライチェーンセキュリティ対策評価制度(SCS評価制度※1)」の目的、仕組み、そして企業が今すぐ着手すべき具体的な準備について、分かりやすく解説します。
※1 SCSは「Supply Chain Security」の頭文字。
本記事の内容は、令和7年12月に経済産業省等が公開しております「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」の内容に基づきますので、今後内容が変更となる可能性があります。
サプライチェーンセキュリティ対策評価制度とは、サプライチェーン全体でのセキュリティ対策水準の向上を図る目的で、サプライチェーンを構成する企業のセキュリティ対策状況を可視化する仕組みのことです。
制度の主な目的
- 対策水準の明確化
企業のサプライチェーンにおける重要度に応じて、どの程度のセキュリティ対策が必要かを明確に示します。これにより、企業は「何をどこまでやればいいのか」を把握しやすくなります。 - リスクの可視化と取引の効率化
取引先が統一基準で評価された「セキュリティ対策の達成度(★マーク)」を取得することで、発注企業は外部からそのセキュリティリスクを客観的に判断できるようになります。これにより、個別の煩雑なチェックが不要になり、取引の効率化に繋がります。 - 社会全体のセキュリティ底上げ
すべてのサプライチェーン企業に対し、段階的にセキュリティレベルの向上を促すことで、日本経済全体のデジタルインフラの安全性を高めます。
~関連記事~
これまでのセキュリティ対策における課題は、主に「個別最適化の進行」と「評価の非効率性」にありました。
課題1:セキュリティ水準の個別要求と負担
発注企業が取引先(受注企業)に対し、個別に異なるセキュリティ対策やチェックリストへの回答を求めるため、受注企業は膨大な手間とコストをかけて対応しなければなりませんでした。
→ 統一的な基準がないため、多大なリソースが無駄に消費されていました。
課題2:リスクの「ブラックボックス化」
発注企業は、取引先のセキュリティ対策が本当に十分なのかを外部から客観的かつ定量的に判断することが困難でした。
→ 取引先の潜在的なリスクが「見えない状態(ブラックボックス)」。
この新制度は、企業間のセキュリティ対策を標準化し、統一的な指標で可視化することで、上記二つの課題を解決することを目指しています。
この制度は、既に普及している中小企業向けの自己評価制度「SECURITY ACTION」(★1、★2)に続く形で、★3、★4、★5の3段階で評価します。
|
評価段階 |
評価者 |
有効期間 |
想定される脅威 |
対策の考え方 |
達成水準 |
運用開始時期 |
|
★1 ★2 |
IPAが創設したセキュリティ自己評価制度「SECURITY ACTION」を参照。 |
|||||
|
★3 |
専門家確認付き |
1年 |
一般的なサイバー攻撃 |
全てのサプライチェーン企業が最低限実装すべき対策として、基礎的な組織的対策とシステム防御策を中心に実施 |
・組織内の役割と責任の定義 ・自社IT基盤への初期侵入、侵害拡大等への対策 ・社内外関係各所への報告、 |
2026年度末 |
|
★4 |
第三者評価 |
3年 |
・供給停止等により大きな影響を ・情報漏えいにより大きな影響を |
サプライチェーン企業が標準的に目指すべき対策として、ガバナンスやシステム防御・検知等包括的な対策の実施(実地審査及び技術検証を含む評価により対策実施状況を確認) |
・取引先のシステムやデータを含む内外への ・事業継続に向けた取組や取引先の対策状況 |
2026年度末 |
|
★5 |
第三者評価 (評価機関) |
未定 |
未知の攻撃も含めた高度な |
国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対して現時点でのベストプラクティスに基づく対策を実施 |
・国際規格等に基づくマネジメントシステム確立 サイバーレジリエンス確保策 ・自社サプライチェーン全体のセキュリティ水準 |
未定 |
★5は、★3~4の精査も踏まえて今後具体化される見込みです。
この評価制度に発注者と受注者の双方が制度に対応することにより、サプライチェーン全体を通じて、経済・社会全体での様々なプラスの効果が期待されています。
4-1.対象別のメリット
受注者
・自社がどのくらいセキュリティ対策をすべきかが明確になる
・発注企業等に対して、セキュリティ対策に係る説明が容易になる
発注者
・取引先に求めるセキュリティ対策の内容や水準の決定や、実施状況の把握が容易、適切になる
・取引先におけるセキュリティ対策の適切な実装で、サプライチェーンに起因する自社リスクが低減する
社会全体
・サプライチェーン全体での底上げを通じた社会全体のサイバーレジリエンスの強化
・サイバー攻撃への備えのある企業等への適切な評価
4-2.対象別のデメリット
発注者・受注者それぞれの立場においてデメリットはありますが、サイバー攻撃により事業へ影響が生じた場合、 これらのデメリットを大きく上回る金銭・時間・人員の負担急増が生じる恐れがあります。
受注者
・新たなセキュリティ対策導入により、金銭・時間的コストや対応人員の業務負担増加の恐れがある
・取引条件にされた場合、対応ができなかった際は取引停止や信頼低下などのリスクが生じる恐れがある
発注者
・受注者のリスクチェックや管理に係る時間的コストや、対応人員の業務負担増加の恐れがある
・代替が効かない受注者がいると、受注者が制度対応できなかった際に調達停止リスクが生じる恐れがある
制度開始は令和8年度末が見込まれていますが、体制整備には時間を要します。下記のような整備を今のうちに進めておきましょう。
1. 現状の対策レベルの把握
経済産業省が公開している★3や★4の要求事項案に基づき、自社が現在どのレベルにあるのかを分析しましょう。
2. 対策の「経営課題」化
セキュリティ対策はコストではなく、取引を維持・拡大するための投資です。
経営層が評価制度の重要性を理解し、必要な予算とリソースを確保することが不可欠です。
3. 文書化と体制整備
特に★4で求められる組織的な対策(インシデント対応計画、取引先への指導など)について、文書化と関係部署間の体制整備を先行して進めましょう。
またセキュリティ対策は、「1回導入してしまえば、あとは何もしなくて良い」というものではありません。
日々高度化・巧妙化しているサイバー攻撃に対応するには、運用が重要な役割を担います。
弊社ハイテックシステムでは自社独自のサイバーセキュリティブランド「TSOC」を設け、日々変化するサイバー攻撃に対応する下記サービスをハイクオリティ・低コストでお客様に提供しています。
・TSOC EDR運用サービス
・セキュリティログ監視サービス
・TSOC 脆弱性診断サービス
サービスの詳細については、こちらからご確認いただけます。
■サービス紹介ページ
https://www.hightech.co.jp/service
■サービス概要資料DLページ
https://info.hightech.co.jp/download?hsCtaAttrib=191836284474
~関連記事~
本評価制度は、企業が個別にリスクを抱える時代から、サプライチェーン全体でリスクを共有し、協力して防御する時代への転換点を示すものです。令和8年度末の制度開始に向けて、企業は自社のセキュリティレベルを客観的に把握し、求められるレベルを達成するための準備を早期に進めることが、今後のビジネスチャンス獲得とリスク回避の鍵となります。
お困りのことがございましたら、お気軽に弊社へご連絡いただけますと幸いです。
