前へ 1 2 3 次へ

フォーティネット・登坂恒夫がビジネス観点で考えるセキュリティ戦略

サイバー攻撃がサプライチェーンを脅かす今、セキュリティ対策の強化は“ビジネスの武器”になる

【提言】SCS評価制度を“追い風”に変える 中小企業の経営者が認識すべき「3原則・7つの取組」

文●登坂恒夫/フォーティネットジャパン(寄稿) 編集●ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

サプライチェーン全体に影響を及ぼすサイバー攻撃の顕在化

 最近のセキュリティインシデントでは、サイバー攻撃を受けた企業だけでなく、その取引先にも大きな影響が及ぶケースが増えています。

 2020年、ネットワーク管理ソフトウェアベンダーである米国SolarWindsに対するサイバー攻撃では、同社のソフトウェアを導入していた民間企業や政府機関、およそ1万8000組織にも影響が広がりました。これは、同社製ソフトウェアのアップデートファイルにバックドアを仕込むという攻撃であり、それをインストールした組織にセキュリティ侵害リスクが拡大した、ソフトウェアサプライチェーン攻撃の重大な事例です。

 さらに、サイバー攻撃の影響はデジタルの世界にとどまらず、物理的な“モノのサプライチェーン”にも波及しています。

 日本では2024年、トヨタ自動車の取引先である部品メーカー「小島プレス工業」がランサムウェア被害に遭い、システム障害が発生。その結果、トヨタの国内全14工場(28ライン)が操業停止に追い込まれました。

 また、同じ2024年には物流企業の関通が、ランサムウェア攻撃で基幹システムの停止に追い込まれ、同社に物流を委託していたEC・通販事業者など取引先全体の事業に影響が拡大しました。

 近年ではデジタルトランスフォーメーション(DX)が進み、原材料の調達から製造、物流、販売に至るサプライチェーン全体でデータのリアルタイム連携が進んでいます。こうしたデータ連携は、サプライチェーン全体の最適化、レジリエンスの強靱化に役立つ一方で、サイバー攻撃を受けた場合の影響をサプライチェーン全体に広げてしまいます。たとえ自社のセキュリティ対策が堅牢であっても、取引先や関連会社へのサイバー攻撃によって影響を受け、情報漏洩や事業停止に繋がるケースが増えているのです。

 こうした現実があるにも関わらず、多くの中小企業は、サイバー攻撃によるサプライチェーンへの影響を軽視し、自社の事業に大きな影響を及ぼすものではないと考えています。

 IPAによる中小企業への調査では、自社でサイバーインシデントが発生した場合に「取引先に多大な影響を及ぼす」と考える企業はわずか2割ほどでした。同様に、販売先(発注元企業)でのサイバーインシデント発生が「自社の事業に多大な影響を及ぼす」と回答した中小企業も、2割ほどにとどまっています。

自社のサイバーインシデントが販売先(発注元企業)に及ぼす影響(出典:IPA『2024年度 中小企業における情報セキュリティ対策に関する実態調査』)

販売先(発注元企業)のサイバーインシデントが自社に及ぼす影響(出典:IPA『2024年度 中小企業における情報セキュリティ対策に関する実態調査』)

 こうした調査結果を見るかぎり「多くの中小企業では、サプライチェーンのセキュリティリスクに対する危機意識が薄い」と言っても差し支えないでしょう。

 こうした意識を改め、取引先を含めたセキュリティ対策に取り組んでいかなければ、セキュリティインシデントが発生した際に、サプライチェーン全体が深刻な事態に陥るおそれがあります。

経産省「サプライチェーンセキュリティ評価制度」と中小企業での対応

 サイバー攻撃の影響がサプライチェーン全体に及ぶ事案が増え、そのセキュリティリスクが顕在化する中で、発注元企業は発注先・委託先企業のセキュリティ対策状況まで確認する必要が生まれています。しかし、それを外部から確認し、判断することは簡単ではありません。一方で、発注先企業の側でも、複数の発注元からさまざまな対策を個別に要求され、その対処に追われる事態になっています。

 こうした状況を整理・改善すべく、経産省は「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の検討を進めており、2026年度末頃の制度開始を目指すとしています。

 SCS評価制度は、サプライチェーンを構成する企業のセキュリティ対策状況を、共通の基準で評価・可視化するものです。これにより、発注元・発注先の双方で負担を軽減しつつ、サプライチェーン全体におけるセキュリティ水準の底上げを図る狙いがあります。

 SCS評価制度では、組織が実施しているセキュリティ対策の段階を「★3」「★4」(今後は★5も検討)に区分し、それぞれの要求事項・評価基準に基づいて、自己評価(専門家の確認を経たもの)や第三者評価機関による評価を行います。★3は「すべてのサプライチェーン企業が最低限実装すべきセキュリティ対策」、★4は「サプライチェーン企業が標準的に目指すべきセキュリティ対策」と位置づけられています。

 なお、本制度が評価の対象とするのは、サプライチェーンを構成する企業などのIT基盤(クラウド環境で運用されるものも含む)です。OTシステムやソフトウェアサプライチェーンは対象外となります。

SCS評価制度におけるセキュリティ対策の段階(★3、★4、★5)(出典:経産省『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針』、2026年3月)

 さらに、中小企業がSCS評価制度の★3・★4を安価かつ簡便に取得できるよう、経産省およびIPAでは、新たに「サイバーセキュリティお助け隊サービス(新類型)」も創設する方針です。

 さらに、中小企業自身でも対策を進められるように、「中小企業の情報セキュリティ対策ガイドライン 第4.0版」というドキュメントも公開しています。

 中小企業においては、こうした支援策やドキュメントを活用して、SCS評価制度への準備と対策を進めていく必要があります。

「サイバーセキュリティお助け隊サービス」(新類型)のイメージ(出典:経産省『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針』、2026年3月)

「中小企業の情報セキュリティ対策ガイドライン 第4.0版」(出典:IPA)

前へ 1 2 3 次へ
Fortinet トップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります