サプライチェーン攻撃とは?中小企業が狙われる5つの理由と今すぐできる対策【2026年版】
2022年、大手自動車メーカーの国内工場が突然停止しました。原因は同社ではなく、部品を供給する取引先中小企業へのランサムウェア攻撃でした。この1件でサプライチェーン攻撃の脅威が広く知られるようになりましたが、今も同様の攻撃は増加し続けています。
「うちは中小企業だから攻撃されない」——残念ながら、それは過去の話です。攻撃者は今、セキュリティの強い大企業を直接狙うのではなく、意図的にセキュリティの弱い取引先・中小企業を踏み台にして大企業へ侵入する手口を多用しています。
この記事では、サプライチェーン攻撃の仕組みと中小企業が狙われる理由、今すぐ取り組める対策、そして経産省が準備を進めているSCS評価制度(★3・★4)との関係まで、情シス担当者の目線で解説します。
目次
想定読者
- 取引先の大企業からセキュリティ対策の強化を求められている中小企業の情シス担当者
- 自社がサプライチェーン攻撃の標的になりうるか把握したい方
- SCS評価制度の背景を理解し、★3・★4取得に向けて何をすべきか知りたい方
1. サプライチェーン攻撃とは?仕組みを30秒で理解する
サプライチェーン攻撃(Supply Chain Attack)とは、攻撃対象の大企業・官公庁を直接狙うのではなく、その取引先・委託先(サプライヤー)のセキュリティの弱点を突いて侵入し、そこを踏み台にして本来の標的へアクセスするサイバー攻撃の手口です。
攻撃の流れ
- 攻撃者が標的とする大企業を決める
- その大企業と取引のある中小企業・ベンダー・物流会社などを調査する
- セキュリティが弱い取引先を選んで攻撃し、ネットワークへの侵入口を確保する
- 取引先との正規の接続経路(VPN・EDI・ファイル共有等)を通じて大企業のシステムへ侵入する
- 大企業の機密情報を窃取・ランサムウェアを展開・業務を妨害する
攻撃者から見れば、セキュリティ投資の大きな大企業を正面突破するより、セキュリティが手薄な取引先を経由するほうが圧倒的に侵入しやすいのです。
2. 国内の被害事例:サプライチェーン攻撃は「身近な脅威」
事例①:自動車部品サプライヤーへの攻撃による工場停止(2022年)
大手自動車メーカーの部品サプライヤーがランサムウェアに感染し、同メーカーとのデータ連携システムが停止。その結果、同メーカーの国内全工場(14拠点28ライン)が約1日停止しました。被害を受けたのはサプライヤー側でしたが、損害は発注元の大企業にまで波及しました。
事例②:医療機器メーカーの委託先経由での情報漏洩
医療機器メーカーが業務委託していたシステム会社のネットワークが侵害され、委託先経由で患者情報・取引先情報が外部に流出。委託元の医療機器メーカーが謝罪対応・通知対応を余儀なくされました。
事例③:官公庁の取引先経由での機密情報窃取
中央省庁や防衛関連企業と取引のある中小IT企業が標的型攻撃を受け、同社のシステムを踏み台にして官公庁のネットワークへの不正アクセスが試みられる事案が複数発生しています。
これらの事例に共通するのは、「被害の起点は中小・中堅企業」という点です。
3. 中小企業が狙われる5つの理由
理由①:セキュリティ投資が少なく、侵入しやすい
大企業はEDR・SIEM・SOCなどのセキュリティ製品・サービスに大規模投資しています。一方、多くの中小企業ではアンチウイルスとファイアウォールのみという構成が一般的です。攻撃者にとって、中小企業は「鍵のかかっていない裏口」に映ります。
理由②:大企業との正規の接続経路を持っている
取引先・委託先として大企業のシステムに接続する正規の権限(VPN・EDI・ファイル共有・メール)を持っています。攻撃者はこの正規経路を悪用することで、大企業側のセキュリティ検知をすり抜けやすくなります。
理由③:セキュリティ担当者が不在または兼任
中小企業の多くは「情シスが1人」または「総務・経理が兼任」という体制です。専任のセキュリティ担当者がいないため、脅威の検知・対応が遅れます。
理由④:「自分たちは狙われない」という意識
「大企業でないから攻撃されない」という思い込みが根強く、セキュリティ対策の優先度が低くなりがちです。しかし攻撃者にとって中小企業を攻撃することは「大企業への侵入手段」であり、業種・規模を問わず標的になります。
理由⑤:レガシーシステム・EOL製品が多い
サポート終了したOSや更新されていない業務システムを使い続けているケースが中小企業に多く、既知の脆弱性を突いた攻撃のリスクが高まっています。
4. 今すぐできる対策5選
対策①:VPN・リモートアクセスの見直し
取引先との接続に使うVPNや、社外からのリモートアクセス環境は攻撃者に最も狙われやすい入口です。VPN機器のファームウェアを最新版に更新し、接続元IPの制限とMFA(多要素認証)の設定を合わせて実施しましょう。
対策②:多要素認証(MFA)の全面導入
Microsoft 365・VPN・業務システムへのログインにMFAを設定します。パスワードが漏洩しても、MFAがあれば不正アクセスを大幅に防げます。設定コストはほぼゼロで、今日から始められます。
対策③:パッチ適用の徹底と記録
OS・業務アプリ・ネットワーク機器のセキュリティパッチを定期的に適用し、記録を残します。「いつ、何を、どのバージョンに更新したか」の記録は、後述するSCS評価制度の証跡としても活用できます。
対策④:取引先とのデータ連携の最小権限化
大企業との接続に必要な最低限の権限のみを付与し、不要な接続経路は廃止します。「誰が使っているかわからないVPNアカウント」「なんとなく残っているFTP接続」を即座に棚卸して整理しましょう。
対策⑤:インシデント対応手順の整備
攻撃を受けた際の初動対応手順(誰に連絡するか・何を止めるか・取引先にいつ報告するか)を文書化します。パニック状態での適切な対応は困難なため、平常時の準備が被害拡大防止に直結します。
5. SCS評価制度とは?——サプライチェーン攻撃への「制度的な答え」
こうしたサプライチェーン攻撃の拡大を受けて、経済産業省が整備を進めているのが「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」です。
制度の目的は明確です。大企業が取引先のセキュリティレベルを客観的に確認できる仕組みを作ることで、サプライチェーン全体のセキュリティ水準を底上げすることです。評価は★3(Basic)と★4(Advanced)の2段階で構成される予定です。
現時点(2026年6月)の状況:
- 制度の詳細ガイドラインは未公開
- 2026年度末の運用開始を目標に準備が進められています
- 情シス担当者の多くは、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン4.0版および付録資料」を参照しながら前準備をしている段階です
6. ★3(Basic)取得に向けて:今できる取り組みと有効なサービス
★3は「自社のセキュリティ対策が基本水準に達していることを自己評価で証明する」レベルです。第三者機関による審査は不要で、自社内で評価シートに記入・申請する形式になる予定です。
★3に向けた取り組み(IPAガイドライン4.0版を参考)
制度の詳細ガイドラインが未公開のため、現時点での参考文書はIPAの「中小企業の情報セキュリティ対策ガイドライン4.0版」です。同ガイドラインが示す取り組みのうち、★3取得に向けた準備として有効と考えられるものを挙げます。
体制・方針
- 情報セキュリティ基本方針の策定・社内周知
- セキュリティ担当者・責任者の明確化
技術的対策
- アクセス制御(多要素認証・ID/パスワード管理・最小権限の原則)
- パッチ適用・脆弱性管理(定期的な更新と記録)
- 重要データのバックアップと復旧手順の確認
運用・証跡
- インシデント対応手順の文書化・定期的な訓練
- 取引先とのデータ連携の棚卸しと最小権限化
- 各対策を実施した記録(証跡)の保管
「第4章 今すぐできる対策5選」で紹介した取り組みは、これらと大きく重なります。日常的なセキュリティ対策を証跡付きで進めることが、そのまま★3の準備になります。
★3対応で有効なサービス
★3取得では「自己評価ができるかどうか」と「証跡が整っているかどうか」がポイントになります。以下のようなサービスが有効です。
★3の準備は情シス担当者が主体的に進めるものです。IPAガイドライン4.0版を手がかりに、各取り組みの実施と記録を積み上げていくことが中心作業になります。
技術的な環境整備(MFA設定・アクセス制御・パッチ管理基盤・ログ収集)のサポートが必要になる場面では、c3indexに相談できます。
7. ★4(Advanced)取得には★3が前提
★4の取得を目指す場合、★3レベルの対策が完了していることが前提条件となる予定です。
★4は★3の取り組みに加え、より高度なセキュリティ対策と第三者による客観的なエビデンスが必要になると想定されています。「自己評価」だけでは完結せず、外部の専門機関による評価・証明が求められるということです。
| ★3(Basic) | ★4(Advanced) | |
|---|---|---|
| 評価方式 | 自己評価 | 第三者評価(予定) |
| 前提条件 | なし | ★3レベルの対策完了 |
| 主な対象 | 取引先全般(サプライチェーン底上げ) | 機密度の高い情報を扱う取引先等 |
| 難易度 | 比較的取り組みやすい | ★3より高度な対策が必要 |
★3から着手し、段階的に★4を目指すロードマップが現実的です。
8. ★4取得に有効な「脆弱性診断」——第三者エビデンスを整備する
★4では第三者エビデンスの1つとして、脆弱性診断が有効と考えられています。
脆弱性診断とは、自社のシステム・Webアプリケーション・ネットワーク機器に存在するセキュリティ上の弱点を専門家が調査・報告するサービスです。診断結果レポートは「外部の専門家から見た自社のセキュリティ状態」を客観的に示す証拠になります。
脆弱性診断が★4準備に有効な理由
- 第三者視点の評価結果が得られる(自己評価との違いを客観的に証明できる)
- 「診断を実施・是正した」という実績がエビデンスになる
- 発見された脆弱性を修正することでセキュリティレベルが実質的に向上する
- ★4に向けた継続的な取り組みの記録として活用できる
ペネトレーションテストとの違い
脆弱性診断と混同されやすいのがペネトレーションテスト(侵入テスト)です。
| 脆弱性診断 | ペネトレーションテスト | |
|---|---|---|
| 目的 | 弱点の洗い出し・一覧化 | 実際に侵入できるか検証 |
| 深さ | 広く・網羅的 | 特定経路を深く検証 |
| 費用感 | 比較的リーズナブル | 脆弱性診断より高額 |
| 最初の一手 | ◎ | △(診断後の次のステップ) |
★4に向けて第三者エビデンスを整備するなら、まず脆弱性診断から始め、必要に応じてペネトレーションテストに進むのが一般的な流れです。
9. c3indexにできること
c3indexは製造業・中堅中小企業の情シスを支援するシステム会社です。SCS評価制度の申請そのものは情シス担当者が主体で進めるものですが、その過程で必要になるIT環境の整備や第三者エビデンスの取得では、c3indexのサービスが役立てる場面があります。
| 場面 | c3indexが役立てること |
|---|---|
| セキュリティ環境の技術的整備(MFA・アクセス制御・パッチ管理基盤) | IT環境整備・システム導入支援 |
| ★4に向けた第三者エビデンスの取得 | 脆弱性診断・ペネトレーションテスト |
| ITセキュリティに関する相談窓口が欲しい | 無料相談(情シス担当者が直接対応) |
「こういう環境を整えたいが、どう実装すればいいか」「脆弱性診断を依頼したい」といったITの具体的な相談から始めていただくのが、c3indexの一番得意な入口です。
よくある質問
Q. サプライチェーン攻撃とランサムウェア攻撃は別物ですか?
別の概念ですが、組み合わさることが多いです。サプライチェーン攻撃は「侵入経路の手口」、ランサムウェアは「侵入後に使われる攻撃ツール」です。取引先を踏み台にして侵入した後、ランサムウェアを展開するパターンが国内でも多数発生しています。
Q. ★3と★4はどちらから取ればよいですか?
まず★3から始めることを推奨します。★4の取得には★3レベルの対策完了が前提となる予定のため、段階的に進めるのが現実的です。現時点ではIPAガイドライン4.0版を参考にした取り組みと証跡整備から着手しましょう。
Q. 脆弱性診断はどのタイミングで実施すべきですか?
★3の取り組みが一通り進んだ段階で実施するのが効果的です。基本的なセキュリティ対策が整っていない状態で診断しても、課題が多すぎて優先度をつけにくい場合があります。まず★3準備を進めながら、並行して診断の相談を進めるのがおすすめです。
Q. 中小企業でも本当に狙われますか?業種は関係ありますか?
業種は関係ありません。製造業・物流・IT・医療・小売など、大企業との取引があるすべての中小企業が潜在的な標的です。攻撃者は「大企業との接続経路を持っているか」だけを基準に標的を選びます。
Q. SCS評価制度の対応は自社だけで進められますか?
★3は自己評価で完結しますが、証跡整備・評価シートの記入には相応の工数がかかります。社内リソースが限られている場合はSIerへの支援依頼も選択肢です。★4に向けた脆弱性診断は外部専門会社への依頼が必要になります。
まとめ
- サプライチェーン攻撃は「大企業との接続経路を持つ中小企業」が踏み台にされるサイバー攻撃
- 狙われる主な理由:セキュリティが弱い・正規の接続経路がある・専任担当者がいない
- 今すぐできる対策:MFA導入・パッチ適用(記録付き)・VPN見直し・最小権限化・インシデント対応手順整備
- SCS評価制度は2026年度末の運用開始を目標に準備中。現時点ではIPAガイドライン4.0版を参考に前準備を進める段階
- ★3(Basic)は自己評価で完結予定。★4(Advanced)には★3が前提+第三者エビデンスが必要
- c3indexは★3対応支援と脆弱性診断(★4向け)を一括サポート
