目 次
3年後、5年後、10年後…。皆様の会社は上の画像のどちらの道をたどっているでしょうか?
1社のサイバーインシデントが取引先や委託元にまで影響を与えてしまう「サプライチェーンリスク」が、サイバーセキュリティ対策の注目キーワードとなっています。
サイバーセキュリティ対策の実施について取引先からの期待にこたえられないことは、信用問題につながり、ビジネスに大きな損失を与えかねません。さらには、経済産業省が推進するサイバーセキュリティ対策の “格付け” 制度が2026年10月にもスタートする予定となっており、取引先選定において「サイバーセキュリティ対策の実施状況」の占める影響力がより大きくなると想定されます。
この状況を、「セキュリティ対策に手間やコストがかかって大変」(=ピンチ)ととらえるでしょうか?そのようにとらえていては、いずれ他社との競争力に差がついてしまう恐れがあります。ピンチではなくチャンスととらえ、ビジネスを拡大するための武器として活用しましょう。
本記事では、まず背景として2024年のサイバーインシデントを振り返り、その結果高まっている取引先へのセキュリティチェックの3つの動向をご紹介します。
3つの動向について本記事では簡単に述べるのみとなりますがそれぞれの詳細について当ブログ内の別記事にてご紹介しておりますので、リンク先の記事もぜひご覧ください。
▼「3つの動向」の詳細をすぐに確認したい場合はこちらから
また、エムオーテックスではサイバーセキュリティ対策の強化にお困りの皆様を支援するコンサルティングパッケージもご用意しています。自社リソースだけでは難しい場合は、専門家の力も借りることもご検討ください。
ガイドライン対応サポートアカデミー
専門家の目で強化するサイバーセキュリティ
企業・団体向けのサイバーセキュリティ対策支援コンサルティングパッケージ。チェックシートと専門家の助言で自己点検と課題発見を行い、対策の精度を向上させます。
2024年に発生したサイバーインシデントの振り返りと傾向
2024年に発生したサイバーインシデントを振り返ると、一番の大事件として思い浮かぶのは某情報処理サービス企業のランサムウェア感染・情報漏えい事件です。サイバー攻撃の標的になり、社内の一部のサーバーやPCがランサムウェアに感染。ハッカー集団が犯行声明を出し、盗み取ったとするデータを公開しました。この公開された情報の中には、某社が業務委託を受けて管理していた情報が含まれており、多数の委託元企業・団体の機密情報が漏えいする事態となりました。
この事件の他にも、1社のサイバーインシデントが取引先など複数の企業に影響を及ぼした例は数多く発生しています。2024年の国内の主要なインシデント事例のうち、ランサムウェアを使った攻撃で、かつ取引先への影響がみられるものをまとめると、これだけの事件が発生しています。
▼2024年 主要な国内ランサムウェア事案のうち取引先などにも影響した例
情報処理推進機構(IPA)は2025年2月14日、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を発表しました。これによると、2023年度にサイバーインシデントの被害を受けたと回答した中小企業975社のうち、何と約7割もの企業が「取引先事業に影響を与えた」と回答しています。
▼「2024年度中小企業における情報セキュリティ対策の実態調査報告書」より
(出典)情報処理推進機構(IPA)「2024年度中小企業における情報セキュリティ対策の実態調査報告書」(2025年2月14日)をもとにMOTEXにて作成
また、具体的に取引先に与えた影響については、最も多かったのが「サービスの障害、遅延、停止による逸失利益」、次いで「個人顧客への賠償や法人取引先への補償負担」、さらには「個人顧客や法人取引に対する信頼の失墜」があったという結果となっています。
このような背景を受けて、ある企業が受けたサイバー攻撃が取引先にまで影響を及ぼすこと(=「サプライチェーンリスク」)が、サイバーセキュリティ対策の注目キーワードとなっています。
取引先へのセキュリティチェックの3つの動向
そこでサプライチェーンリスクを可視化する手段として、自社の取引先に対してセキュリティチェックを行おうという動きが広まっています。自社の取引先を選ぶ際に、相手企業がサイバーセキュリティ対策を積極的に行っているかどうかを調査する傾向は、今後一層強まっていくと考えられます。その結果によって、もし取引先企業の求める水準に達することができなければ、取引自体を停止されてしまう、または新規に取引を行うことができなくなってしまう恐れがあります。こういった動きは欧米で先行しており、国内企業でも広まり始めています。
現在みられる日本国内の動向としては以下の3点があげられます。
●取引先へセキュリティチェックシートを送付する企業が増加
取引先のセキュリティ状況を確認するための「チェックシート」を送付し、回答を求める企業が増えています。こうしたチェックシートは、IPA・NISTなどが公表しているガイドラインや業界ガイドラインを参考に、自社と取引するために最低限必要となるセキュリティ対策の実施項目をリスト化し、実施できているかどうか回答を求めるパターンが一般的です。チェックシートはあくまでも自己申告になるため、信ぴょう性を担保する観点から、チェックシートの加えて訪問での監査を行うケースもあります。
●中堅以上の企業を中心として「第三者リスク評価ツール」が浸透。グループ会社や取引先のセキュリティレベルを外部から客観的に調査
第三者リスク評価ツールとは、自社はもちろん、取引先や子会社などのセキュリティ対策の課題を可視化・把握できるサービスです。調査したい企業のドメイン情報を登録するだけで、インターネット上に公開されているIT資産情報(Webサーバーやメールサーバー、VPN機器等)を特定。対象となるIT資産に負荷や影響を与えずに、攻撃者目線でのサイバーリスクを可視化できます。
前述のセキュリティチェックシートはあくまでもアンケート調査となりますので、回答する担当者が把握している範囲でしか課題を可視化することはできず、またもし実態とは異なる回答をされていても気づくことはできません。それに対して第三者リスク評価ツールを使えば、客観的な事実として、その企業すら気づいていない対象企業の弱点を発見することができます。
●経済産業省が推進するサイバーセキュリティの “格付け” 制度が2025年度中に開始予定
2024年4月に経済産業省は、サイバーセキュリティ対策の実施状況を5段階で格付けする制度を新設する方針を発表しました。この制度については検討会の資料が経産省のHPにて公表されており、2025年2月に公表された最新情報によると、2026年10月ごろのスタートとなる予定です。
このように国内に統一基準で企業のセキュリティ対策実施状況を可視化できるようになる仕組みが整備されることで、取引先選定において「セキュリティの実施状況」の占める影響力がより大きくなると想定されます。
ピンチをチャンスに!サイバーセキュリティを自社の強みに変えましょう
「サプライチェーンリスク」がサイバーセキュリティ対策の注目キーワードとなり、それを背景に取引先のセキュリティ対策状況を把握しようという動きが広まっています。経産省が推進する新制度がスタートすると、さらにその動きは加速すると想定されます。
この状況をピンチではなくチャンスととらえ、サイバーセキュリティ対策に積極的に取り組むことを自社の強みとして、ビジネスに生かすことをおすすめします。例えば経産省の新制度について、2026年10月の制度開始と同時に格付けの星を獲得できたとしたらどうでしょう?同業他社よりも先んじて格付けの認定を受けたことが、新規の取引開始や取引の継続にプラスに働くことが想定されます。
過去を振り返ってみると、類似の事例としてはPマーク(プライバシーマーク)の流行が挙げられます。1998年に制度が開始し、2003年の個人情報保護法の制定と2005年の全面施行をきっかけに大きく取得企業数を伸ばしました。現在ではPマークは広く企業のHPや社員の名刺などに掲載されており、顧客の信頼獲得に活用されています。また、官公庁等の入札ではPマークの取得が参加条件となっており、未取得の場合はその時点で商談機会を失うことになります。
Pマークの取得企業数の推移を見てみると、以下のグラフのようになります。2025年4月の全面施行を機に一気に取得企業数が伸びています※。つまりそれ以降にPマークを取得してもライバル企業と横並びになるだけですが、逆に2025年4月より前の段階でPマーク取得ができていれば、ライバル企業との競争において優位に立つことができたということになります。
▼Pマーク取得企業数の推移とライバル企業に対する競争力
※1998年度~2024年3月31日時点の事業者数
出典:日本情報経済社会推進協会(JIPDEC) プライバシーマーク付与事業者情報(2024年9月30日版)
これと同じことが、今回の格付け制度でもいえるのではないでしょうか。2026年10月に制度の詳細が正式に公開される予定ですが、それまで確定の情報をただ待っているだけでは、認定を受けるのが遅れてしまいます。今の段階から準備を進めておきましょう。自社のリソースだけでは難しいという場合には、専門家の力を借りることも検討してみてください。
▼経産省格付け制度の認定獲得タイミングによる違い
格付け制度対策もエムオーテックスがご支援します
エムオーテックスが提供するコンサルティングパッケージ「ガイドライン対応サポートアカデミー」なら、「経済産業省 サイバー・フィジカル・セキュリティ対策フレームワーク」 や「IPA 中小企業の情報セキュリティ対策ガイドライン」「IPA 情報セキュリティ対策ベンチマーク」などをもとに、すべての企業が実施するべきサイバーセキュリティ対策のチェックシートをご提供し、自社のセキュリティ対策の現状把握ができます。さらに、コンサルタントによる動画解説や、各種セキュリティ関連規程のひな形もご提供。困ったときにはコンサルタントに個別相談もできます。特に自社の現状の振り返りには、第三者の専門家の目線を入れることで、今まで気づけなかった課題が発見でき、対策の精度向上につながります。
サイバーセキュリティ対策の強化に取り組みたいが、自社に専任人材やノウハウがないとお困りの場合はぜひご相談ください。
ガイドライン対応サポートアカデミー
専門家の目で強化するサイバーセキュリティ
企業・団体向けのサイバーセキュリティ対策支援コンサルティングパッケージ。チェックシートと専門家の助言で自己点検と課題発見を行い、対策の精度を向上させます。
