RESOURCE
サプライチェーンセキュリティ(SCS)とは?今なぜ強化が求められるのか|ハチマルヤ合同会社(808)

サプライチェーンセキュリティ(SCS)とは?今なぜ強化が求められるのか|ハチマルヤ合同会社(808)

「自社のセキュリティはしっかりしているはずなのに、なぜ被害に遭うのだろう……」

そんな疑問を持ったことがある情シス担当者の方は少なくないのではないでしょうか。

実は、自社のセキュリティがどれだけ堅固でも、取引先や委託先が攻撃の入り口になるケースが急増しています。これが「サプライチェーン攻撃」と呼ばれる手口です。IPA(情報処理推進機構)の「情報セキュリティ10大脅威2026」でも2位にランクインしており [※1]、企業規模を問わず対策が求められています。

この記事では、サプライチェーンセキュリティの基本から、国内で起きた被害事例、そして企業が今すぐ始められる対策まで、ハチマルヤ(808)のコンサルタントが整理してお伝えします。


サプライチェーンセキュリティとは?わかりやすく解説

サプライチェーンセキュリティとは、製品の調達・製造・配送・販売といったサプライチェーン全体を対象にしたセキュリティ対策の総称です。

従来のセキュリティ対策は「自社のシステムを守る」ことが中心でした。しかし、現代のビジネスは多数の取引先・委託先・クラウドサービスと複雑につながっています。自社だけを守っても、つながり全体が安全でなければ意味がありません。

攻撃者はこの「つながり」を悪用します。セキュリティが手薄な取引先や委託先を踏み台にして、本命のターゲット企業に侵入するのが「サプライチェーン攻撃」です。被害を受けた企業は、サプライチェーン上の連鎖反応で他の取引先にも影響が広がりやすく、自社だけの問題では済まないケースも多くあります。

サプライチェーン攻撃とランサムウェアの違い

混同されやすいですが、両者は別の概念です。

ランサムウェアはデータを暗号化して身代金を要求するマルウェアの種類を指します。一方、サプライチェーン攻撃は攻撃の「経路・手口」を指す言葉です。サプライチェーン攻撃の結果としてランサムウェアが使われることは多く、実際に国内でも取引先経由で侵入されランサムウェアに感染するケースが急増しています。


サプライチェーン攻撃の3つの手口

サプライチェーンを狙った攻撃には、主に3つのパターンがあります。

手口①:取引先・委託先を踏み台にした侵入

最も多いパターンです。セキュリティ対策が手薄な中小の取引先や委託先を侵害し、そこを経由して本命のターゲット企業のネットワークへ侵入します。

VPN接続やリモートアクセス権限を持つ委託先が踏み台にされるケースが特に多く、発注元企業の内部に直接つながる経路を利用されてしまいます。

手口②:ソフトウェアサプライチェーン攻撃

ソフトウェアの開発工程や配布経路を狙う手口です。オープンソースライブラリ(OSS)や開発ツール、ソフトウェアのアップデート機能に悪意のあるコードを混入させます。

利用企業は正規のソフトウェアをインストールしたつもりが、知らずにマルウェアを取り込んでしまいます。世界的に有名な事例が、米国のIT管理ソフト「SolarWinds」です。アップデートに悪意あるコードが混入し、米政府機関を含む数万社が被害を受けました。[※2]

手口③:クラウドサービス・SaaS経由の侵入

クラウドサービスやSaaSの設定ミス・脆弱性を突いて侵入する手口です。複数の企業が共通のクラウドサービスを利用している場合、そのサービスへの侵害が横断的な被害につながります。

「気づかない」が最大のリスク

サプライチェーン攻撃の特徴は、被害に遭っていても気づきにくい点です。攻撃者は正規の認証情報を使って侵入するため、セキュリティシステムが不審なアクティビティとして検知しないケースがあります。気づいたときには長期間にわたって内部に潜伏し、重要情報が抜き取られていたという事態が起きています。


国内で起きた主な被害事例

「海外の話では?」と思っている方のために、国内で実際に起きた被害をご紹介します。

飲料大手(2025年)

2025年、国内大手飲料メーカーがランサムウェア攻撃を受け、国内の生産・出荷が広範にわたって停止しました。復旧まで2ヶ月以上かかり、漏えいの可能性がある情報は最大約191万件(顧客約152.5万件・社外関係先約11.4万件・従業員等約27.5万件)、うち漏えいが確認された件数は約11.5万件と公表しています。[※3] サプライチェーン全体の生産・物流に波及した大規模事案です。

Askul(2025年)

大手ECサービスがランサムウェア攻撃を受け、企業向け受発注・物流システムが約6週間にわたって停止しました。同サービスと連携していた無印良品のオンライン販売も巻き添えを受け、サプライチェーンの連鎖被害が顕在化した事例です。[※4]

データが示す「中小企業が標的」の現実

  • 国内ランサムウェア被害の57%が中小企業 [※5]
  • 製造業が被害の28%を占める・業種別最多 [※5]
  • サイバーインシデントの発端として「国内の下請け・取引先が10.8%」 [※5]

「うちは小さいから関係ない」が一番危ない理由

規模が小さいほどセキュリティ投資が手薄になりやすく、攻撃者にとって侵入しやすい格好の標的です。中小企業が狙われるのは「そこから大企業につながれるから」という理由が大きく、自社が気づかないまま大企業への攻撃の踏み台になっているケースがあります。

「うちは標的になるような重要な情報がない」という認識も危険です。攻撃者が欲しいのは自社の情報ではなく、自社を経由して到達できる大企業のネットワークや情報だからです。


なぜ今、強化が求められているのか

サプライチェーンセキュリティへの関心は、なぜここ数年で急速に高まっているのでしょうか。背景には複数の変化があります。

① IT環境の複雑化
クラウドサービス・SaaS・OSSの活用が広がり、ビジネスのつながりが複雑になりました。10年前と比べて、企業が外部と接続する経路は格段に増えており、管理すべきサプライチェーンのリスクも拡大しています。

② 大企業の対策強化→攻撃者が中小企業へシフト
大企業がセキュリティ投資を増やすにつれ、攻撃者はより対策が弱い中小企業や委託先に標的を移しています。「大企業の下請け」「重要システムの保守委託先」は特に狙われやすい立場にあります。

③ 政府・規制の動き
国内では経産省がSCS評価制度を創設し、サプライチェーン全体のセキュリティ水準の底上げを図っています。[※6] 海外でも欧米の取引先から「セキュリティ認証の取得」を求められるケースが増えており、グローバルなサプライチェーンで取引を続けるうえでの必須条件になりつつあります。

④ サプライチェーン攻撃の検知困難性
通常の不正アクセスと違い、正規の認証情報を使って侵入するため、既存のセキュリティ対策では検知が難しいケースがあります。対策の複雑化が企業のセキュリティ担当者に重くのしかかっています。

⑤ グローバルサプライチェーンのリスク拡大
海外に製造拠点・調達先を持つ企業にとって、国境を越えたサプライチェーンリスクも無視できません。欧米では取引条件に「セキュリティ認証の取得」を求める動きが広がっており、海外取引を続けるうえでの事実上の必須条件になりつつあります。国内だけでなく、グローバルなサプライチェーン全体を視野に入れた対策が求められています。


SCS評価制度との関係

経産省がSCS評価制度を創設した直接の背景が、このサプライチェーン攻撃の急増です。個々の企業がバラバラに対策を進めるのではなく、サプライチェーン全体で共通の評価基準を持ち、取引先のセキュリティ水準を「見える化」する仕組みが必要だという判断です。

SCS評価制度の評価項目(★3の7カテゴリ)の中に「委託先管理」という独自カテゴリが設けられているのも、サプライチェーンリスクへの対応を制度の中核に位置づけているためです。[※6]

[SCS評価制度とは?2027年から始まる新制度の全体像と対象企業

サプライチェーンセキュリティへの対応を考えるうえで、SCS評価制度への対応計画と一体で進めることが効率的です。制度対応を通じて自社のサプライチェーンリスクを体系的に管理できる仕組みが整います。


企業が今すぐできる対策3ステップ

「何から手をつければいいかわからない」という方のために、現実的な最初の3ステップをお伝えします。

ステップ1:自社の情報資産と外部接続を棚卸しする

まず、自社がどの取引先・委託先とどのようにつながっているかを整理します。VPN接続、リモートアクセス、クラウドサービス、開発委託先など、外部との接点をリストアップするだけでも、リスクの全体像が見えてきます。

ステップ2:主要取引先・委託先のセキュリティ状況を確認する

重要な情報を扱う取引先や、社内システムへのアクセス権限を持つ委託先から優先的に確認します。現時点では「セキュリティアンケートの送付」や「認証取得状況の確認」など、できる範囲から始めるだけで大きく前進します。

確認の優先順位をつける際は、以下を参考にしてください。

  • 最優先:VPN・リモートアクセスなど社内ネットワークへの接続権限を持つ委託先
  • 次点:機密情報・個人情報を預けている取引先
  • その次:日常的に業務データをやり取りしている取引先

全取引先を一度に確認しようとすると負担が大きくなります。まず上位10社程度に絞って着手するのが現実的です。

ステップ3:SCS評価制度の対応計画を立てる

SCS評価制度への対応を通じて、自社のサプライチェーンリスク管理を体系化するのが最も効率的なアプローチです。制度対応の中で、評価項目に沿ったセキュリティ強化が自然と進みます。

中小企業でも取り組める現実的なアプローチ

「人員もコストも限られている」という中小企業の場合、すべてを一度に対応しようとせず、リスクの高い接点から順番に対処することが重要です。

まず「重要情報にアクセスできる外部接続」に絞り込んで対策を講じるだけでも、サプライチェーン攻撃のリスクを大幅に下げることができます。


まとめ

この記事では、サプライチェーンセキュリティについて以下の内容を解説しました。

  • サプライチェーンセキュリティとは:取引先・委託先を含むサプライチェーン全体を守るセキュリティ対策。自社だけでなく「つながり全体」を守る発想が必要
  • なぜ今重要か:攻撃者が中小企業・委託先にシフト。IT環境の複雑化・政府規制の整備が進む中、対応は待ったなし
  • 今すぐできること:外部接続の棚卸し→主要取引先の確認→SCS評価制度の対応計画の3ステップから始める

「自社だけを守る」セキュリティの時代は終わりつつあります。サプライチェーン全体を視野に入れた対策を、今から少しずつ進めていきましょう。


よくある質問(FAQ)

Q1:サプライチェーン攻撃とは何ですか?
取引先や委託先など、サプライチェーン上の弱い組織を経由して標的企業に侵入するサイバー攻撃です。正規の認証情報を使って侵入するため検知が難しく、被害に気づかないまま情報が抜き取られるケースがあります。

Q2:中小企業もサプライチェーンセキュリティ対策が必要ですか?
むしろ中小企業こそ重点的な対策が必要です。国内ランサムウェア被害の57%が中小企業(警察庁、2025年)[※5] で、大企業への攻撃の踏み台として狙われやすい立場にあります。「うちは関係ない」という認識が最も危険です。

Q3:サプライチェーンセキュリティ対策として何から始めればよいですか?
①自社の情報資産と外部接続の棚卸し、②主要取引先のセキュリティ状況確認、③SCS評価制度への対応計画策定の3ステップが現実的な出発点です。すべてを一度に対応する必要はなく、リスクの高い接点から優先的に取り組みましょう。


ハチマルヤ合同会社(808)では、サプライチェーンセキュリティへの対応を専門チームがサポートしています。「何から始めればいいかわからない」という段階からご相談を受け付けています。まずはお気軽にご相談ください。


参考資料・出典

※1 IPA「情報セキュリティ10大脅威2026」(2026年)
https://www.ipa.go.jp/security/10threats/

※2 CISA「SolarWinds and Active Exploitation of Orion Platform」(2020年)
https://www.cisa.gov/news-events/alerts/2020/12/17/active-exploitation-solarwinds-software

※3 各社公表情報(2025年)より。漏えい件数は各社プレスリリース記載の数値。

※4 各社公表情報(2025年)より。

※5 警察庁「サイバー空間をめぐる脅威の情勢等について」(2025年)
https://www.npa.go.jp/publications/statistics/cybersecurity/

ASSESSMENT

ASSESSMENT

現状のセキュリティ課題を明確にし、解決策や対応策をレポートでお届け。簡易セキュリティアセスメントを今すぐ体験してみましょう。

START OF ASSESSMENT

REQUEST

資料請求はこちら

資料請求

CONTACT

お問い合わせはこちら

お問い合わせ

資料請求

簡単 1STEP
こちらから
無料で資料請求

資料請求