近年、クラウドサービスの活用やリモートワークの普及により、企業のデジタル化は急速に進展しています。

その一方で、サイバー攻撃のリスクも高まり、被害が発生した場合の影響も深刻化しています。

特に近年では、被害が1社にとどまらず、取引先やその先の企業へと連鎖的に拡大する「サイバードミノ」が問題視されています。

こうした状況を踏まえると、セキュリティ対策はもはや自社を守るためだけのものではなく、自社を取り巻くサプライチェーン全体の安全性を確保し、取引における信頼を維持するための重要な経営課題ともいえます。

本記事では、「サイバードミノ」をテーマに、その概要や発生する原因、被害を防ぐための対策などを解説します。

「サイバードミノとはそもそも何か」「自社でどのような対策を行えばよいのか」などを知りたい方はぜひご一読ください。

サイバードミノとは

「サイバードミノ」とは、サイバー攻撃の被害が、攻撃を受けた1社にとどまらず、取引先やその先の企業へと連鎖的に広がる現象を指します。

経済産業省は、サイバードミノについて以下のように示しています。

出典：経済産業省｜「中小企業の実態判明 サイバー攻撃の7割は取引先へも影響」（2025年2月19日）

サイバードミノの典型的なパターンとしては、セキュリティ対策が十分でない中小企業が攻撃を受け、そこを起点として取引先の大企業にまで被害が及ぶケースが挙げられます。

このように、ひとつの企業で発生したインシデントが、複数の企業の事業継続に影響を及ぼすことから、近年では社会全体のリスクとして問題視されています。

サイバードミノを防ぐためには、自社だけでなく、取引先や子会社などを含めたサプライチェーン全体でセキュリティレベルを底上げしていくことが求められます。

サイバー被害の約7割が取引先にも影響

IPA（独立行政法人情報処理推進機構）が2025年に公開した「2024年度中小企業等実態調査」によると、2023年度にサイバーインシデントの被害を経験した975社のうち、約7割が「サイバーインシデントにより取引先に影響があった」と回答しています。

また、影響が出たと答えた企業のうち36.1%が「取引先に対してサービスの停止や遅延という具体的な損害を与えた」としています。

出典：IPA（独立行政法人　情報処理推進機構）｜「2024年度中小企業等実態調査結果」速報版を公開（2025年2月14日）

これらの結果から、近年のサイバー攻撃による被害は、攻撃を受けた企業だけにとどまらず、取引先やその先への波及する可能性が非常に高いことがわかります。

すなわち、企業のセキュリティ対策はもはや自社単体の問題ではなく、サプライチェーン全体で捉えるべき取り組みとなっています。

サイバードミノが起こる原因と実態

サイバードミノのきっかけとなるサイバーインシデントは、基本的なセキュリティ対策が十分に実施されていないことを背景として発生するケースが少なくありません。

実際、前項で取り上げたIPAの調査によると、過去3期において情報セキュリティ対策への投資を行っていない企業は約6割、さらに組織的なセキュリティ体制が整備されていない企業が約7割にのぼることが明らかになっています。

こうした状況のもとでは、サイバー攻撃の被害を受けるリスクが高まるだけでなく、その影響が取引先へと波及し、サイバードミノにつながる可能性も高まります。

一方、同調査では、取引先（発注元企業）から情報セキュリティ対策に関する要請を受けた企業のうち、「対策の実施が取引につながった大きな要因である」と回答した企業が42.1％にのぼっており、セキュリティ対策が取引条件の一つとして重要視されている実態もうかがえます。

出典：IPA（独立行政法人　情報処理推進機構）｜「2024年度中小企業等実態調査結果」速報版を公開（2025年2月14日）

つまり、セキュリティ対策の実施有無は、サイバーインシデントの被害防止だけでなく、企業活動を持続的に成長させるうえでも欠かせない取り組みとなっています。

では、こうしたサイバードミノは実際にどのように発生するのでしょうか。

具体的な事例をもとに、その実態を見ていきましょう。

サイバードミノの事例

サイバードミノは、実際にどのように発生するのでしょうか。

ここでは、サイバーインシデントがどのように発生し、その影響がサイバードミノへと波及するのか、具体的な事例をもとに見ていきます。

2025年10月、大手通信販売会社がランサムウェア攻撃を受け、システム障害による大規模なサービス停止、顧客情報・取引先情報の流出が発生しました。

同社の公表によると、ランサムウェアによるデータの暗号化により、受注や出荷業務を含む主要なサービスが停止する事態となりました。

これにより、自社のECサイトにとどまらず、同社の物流機能を利用していた企業や取引先にも影響が及び、その被害が波及しました。

調査の結果、業務委託先に付与していた管理者アカウントについて、例外的に多要素認証が適用されていなかったことに加え、そのID・パスワードが何らかの方法で漏洩し、不正利用されたことが確認されました。

このアカウントを起点とした不正アクセスが、今回の攻撃につながったとされています。

同社は再発防止策として、すべてのリモートアクセスへの多要素認証の徹底や、管理者権限の厳格な運用、従事者の再教育などを進めるとしています。

さらに、今回の事態を受けてセキュリティ強化のロードマップを策定し、より強固なセキュリティ体制の構築に向けた取り組みを進めています。

この事例は、ひとつの認証情報の管理不備を起点として、自社のみならず、取引先にまで業務停止の被害が波及する典型的なサイバードミノのケースといえるでしょう。

サイバードミノを防ぐためのセキュリティ対策

事例のようなサイバードミノを防ぐためには、具体的にどのような対策を講じる必要があるのでしょうか。

IPAの調査によると、2023年度にサイバーインシデントを経験した企業のうち、被害内容として最も多かったのは「コンピューターウイルス感染（14.8％）」であり、次いで「不正アクセス（10.0％）」「ランサムウェア感染（8.3％）」となっています。

また、このうち不正アクセスの手口については、「脆弱性（セキュリティパッチの未適用等）を突かれた」との回答が48.0％で最も多く、次いで、「ID・パスワードをだまし取られた（36.8％）「取引先やグループ会社等を経由して侵入（19.8％）」が続いています。

これらの結果から、サイバーインシデントの多くは、ソフトウェアの更新管理不足や認証管理の不備といった基本的な対策の不徹底を起点として発生していることが伺えます。

つまり、こうしたインシデントを防ぐためには、基本的なセキュリティ対策を着実に実施することが重要であるといえます。

では、「基本的なセキュリティ対策」とは具体的にどのような内容を指すのでしょうか。

ここではIPAの調査結果をもとに、サイバーインシデントの発生要因と関わりが深いと考えられる代表的な情報セキュリティ対策を5つ紹介します。

生成AIの登場などにより、サイバー脅威は年々高度化・巧妙化しています。そのため、防御側にもそれに応じた高度な対策が求められます。

ここで取り上げた5つの対策はいずれも基本的な取り組みですが、いずれか一つでも不十分であれば

サイバーインシデントの発生や被害拡大のリスクを高める要因となります。

そのため、企業・組織においては、自社が保有する情報資産や取引関係を踏まえたうえで、適切な対策を講じていくことが重要です。

出典：IPA（独立行政法人　情報処理推進機構）｜「2024年度 中小企業における情報セキュリティ対策に関する実態調査－報告書－」

サイバードミノ対策として重要な「SCS評価制度」とは

本記事で確認してきた通り、「サイバードミノ」は、複数の企業の事業継続に影響を及ぼす可能性があり、社会全体のリスクとして問題視されています。

こうした実態を受け、経済産業省では、「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の検討が進められています。

「SCS評価制度」とは、サプライチェーンを構成する各企業の立ち位置に応じて、必要なセキュリティ対策を提示・可視化する制度です。

委託元企業・委託先企業双方のセキュリティ対策に要する負担を軽減しつつ、サプライチェーン全体のセキュリティレベル向上を図る仕組みとして位置付けられています。

IPAの調査では、「情報セキュリティ対策の実施が取引につながった大きな要因である」と回答した企業が42.1％にのぼっており、セキュリティ対策が取引条件の一つとして重要視されていることがうかがえます。

SCS評価制度では、企業のセキュリティ対策状況を客観的に評価する仕組みとして、「三つ星（★3）」「四つ星（★4）」「五つ星（★5）」の3段階の評価基準が設けられます。

この評価を活用することで、従来は自己申告に依拠する部分が多かったセキュリティ対策について、共通の基準に基づく客観的な評価・証明が可能になります。

発注側企業にとっては、取引先の安全性を把握しやすくなるとともに、セキュリティ対策状況を取引判断の条件とすることで、サプライチェーン全体のセキュリティ強化が期待できます。

SCS評価制度を活用し、サプライチェーン全体のセキュリティ水準を高めることで、サイバードミノの発生抑止につながることが期待されます。

SCS評価制度にいまから本気で取り組むなら「ガイドライン対応サポートアカデミー」

SCS評価制度は、2026年度末頃の運用開始に向けて検討が進められています。

制度開始後に対応を検討しようと考えている企業・組織もあるかもしれませんが、制度開始前のいまから対応準備を進めることが推奨されます。

本記事でも触れた通り、セキュリティ対策の実施状況は取引条件の一つとして重要視される傾向があり、SCS評価制度の運用開始後は、星の取得が取引条件になることが想定されます。

このような状況を踏まえると、制度開始後にいち早く星を獲得できるかどうかは、競合優位性の確保に直結すると考えられます。

一方で、実際に準備を進めようとすると、「自社だけでは制度への対応が難しい」「そもそも何から始めればよいかわからない」といった課題に直面する企業も少なくありません。

こうした課題をお持ちの企業・組織に向けて、本記事では、LANSCOPE プロフェッショナルサービスが提供する「ガイドライン対応サポートアカデミー」をご紹介します。

「ガイドライン対応サポートアカデミー」は、お客様のセキュリティレベルの向上をアカデミー形式で支援するコンサルティングパッケージです。

「ガイドラインの内容が難しくてわからない」「前提となるセキュリティ対策の知識が足りない」といったお悩みに対して、コンサルタントによる伴走支援をはじめ、解説動画の提供や個別相談などを通じて、実践的な対策の実行をサポートします。

SCS評価制度への対応に関しても、認定要件への適合状況を専門的な視点でチェックし、星の取得に向けた具体的なアドバイスを提供します。※

「ガイドライン対応サポートアカデミー」についてより詳しく知りたい方は、以下のページまたは資料をご確認ください。

※本サービスの支援内容は2025年12月に経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」で公表した「【参考資料】★3・★4要求事項案・評価基準案」をもとにしています。

「SCS評価制度（セキュリティ対策評価制度）」への対策、何から始める？

経済産業省は2026年に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始を予定しています。制度開始後にいち早く認定を受けるためにいますぐに始められる対策を解説します。

資料をダウンロードする

まとめ

本記事では「サイバードミノ」をテーマに、その概要や発生原因、サイバードミノを防ぐための対策などを解説しました。

適切なセキュリティ対策が講じられていない場合、自社を起点としてサイバードミノが発生し、取引先やその先にまで被害が及ぶ可能性があります。

こうした事態を防ぐためには、基本のセキュリティ体制を徹底することが重要です。

また、サイバードミノのリスクを低減するためには、自社に関係するサプライチェーン全体のセキュリティ強化も欠かせません。

このセキュリティ水準を客観的に評価・証明する仕組みとして、「SCS評価制度」の検討が進められています。

制度対応を始めるためには、まず制度の内容を正しく理解し、自社の実態について把握することが重要です。

制度開始後のいち早い星獲得を目指す企業・組織の方に向けて、わかりやすい解説資料をご用意しています。ぜひ制度対応の第一歩としてご活用ください。

「SCS評価制度（セキュリティ対策評価制度）」への対策、何から始める？

経済産業省は2026年に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始を予定しています。制度開始後にいち早く認定を受けるためにいますぐに始められる対策を解説します。

資料をダウンロードする