はじめに:サプライチェーンリスクとは
サプライチェーンとは、製品の原材料・部品の調達から、製造、在庫管理、配送、販売、消費に至るまでの一連の流れを指します。現代の企業活動において、サプライチェーンは複雑化・グローバル化しており、一つの製品を作るために世界中の数多くの企業が関わっています。
このような状況下で、サプライチェーン上のどこか一箇所でも問題が発生すると、連鎖的に事業全体に影響が及ぶリスクが高まっています。特に近年、取引先に影響を与えるサイバー攻撃事案が頻発しており、サプライチェーン全体でのリスク管理の重要性が急速に高まっています。
実際、IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2025」において、「サプライチェーンの弱点を悪用した攻撃」は7年連続でランクインし、2023年から3年連続で組織向けの脅威として第2位に位置づけられています。
【重要】経済産業省のSCS評価制度(2025年12月発表)
制度発表の背景
2025年12月26日、経済産業省および内閣官房国家サイバー統括室は、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))を公表しました。
近年、取引先に影響を与えるサイバー攻撃事案が頻発する中、取引先のセキュリティ対策状況を外部から判断することが難しいという発注元企業側の課題や、複数の取引先から様々な対策を要求されるという委託先企業側の課題が生じています。
こうした課題に対応するため、サプライチェーンにおける重要性を踏まえた上で満たすべき各企業の対策を提示しつつ、その対策状況を可視化する仕組みの構築が進められています。
制度の目的と趣旨
本制度では、サプライチェーンにおけるリスクを対象にした上で、各企業の立ち位置に応じて必要なセキュリティ対策を提示するため、複数のセキュリティ対策の段階(★)を設けています。
こうした段階を設けることにより、特に、限られたリソースの中で自社のリスクを踏まえてセキュリティ対策を行うことが困難な中小企業を中心に、サプライチェーンに属するすべての企業が、容易かつ適切に必要なセキュリティ対策を決定できるようになることが期待されます。
本制度の活用促進を通じて、取引先へのサイバー攻撃を起因とした不正侵入等のリスクや製品・サービスの提供が途絶えるリスクの軽減を図り、サプライチェーン全体のセキュリティ対策水準を向上させることが目的です。
なお、本制度は企業のセキュリティ対策への対応状況を可視化するものであり、事業者のセキュリティ対策レベルを競わせることを目的としたもの(格付け制度等)ではありません。
3段階のセキュリティ対策水準
本制度では、以下の3つのセキュリティ対策の段階(★)を設けることを予定しています:
★3:基礎的対策段階
- 全てのサプライチェーン企業が最低限実装すべきセキュリティ対策
- 基礎的なシステム防御策と体制整備を中心に実施する段階
- 評価方法:専門家確認付き自己評価
★4:標準的対策段階
- サプライチェーン企業等が標準的に目指すべきセキュリティ対策
- 組織ガバナンス・取引先管理、システム防御・検知及びインシデント対応等包括的な対策を実施する段階
- 評価方法:第三者評価
★5:到達目標段階
- サプライチェーン企業等が到達点として目指すべき対策
- 国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施する段階
- 評価方法:第三者評価(令和8年度以降、対策基準や評価スキームの具体化の検討を予定)
上位の段階はそれ以下の段階で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係とはなりません。
制度の開始時期
3段階の水準のうち、★3及び★4について、令和8年度(2026年度)末の制度開始を目指し、制度運営基盤の整備や制度の導入促進等を進めていきます。★5については、令和8年度以降、対策基準や評価スキームの具体化の検討を進めていく予定です。
中小企業向け支援策:サイバーセキュリティお助け隊サービス(新類型)
SCS評価制度の制度開始に向けて、経済産業省及び独立行政法人情報処理推進機構(IPA)は、中小企業が同制度の★3及び★4を安価かつ簡便に取得できるよう、新たな支援策として「サイバーセキュリティお助け隊サービス」(新類型)を創設する予定です。
現時点で想定されているサービス内容:
- STEP1:サプライチェーン強化に向けたセキュリティ対策評価制度の★3又は★4の取得時及び更新時に、中小企業のセキュリティ対策状況を評価
- STEP2:同制度★3又は★4の要求事項のうち未達成の項目について、ITツールの導入や人的支援によって、その達成を支援
- 上記のサービスについて、一定の価格要件等を満たすものを、国が「サイバーセキュリティお助け隊サービス」(新類型)として認定
経済産業省及びIPAでは、令和8年春頃から、「サイバーセキュリティお助け隊サービス」(新類型)の制度設計を行うための実証事業を開始する予定です。
取引先へのセキュリティ対策要請に関する法令整理
発注者側である大企業が取引先である中小企業等に対してサイバーセキュリティ対策の実施要請をするに当たって、一定のサイバーセキュリティ対策を実施していることを取引の条件とすること等について、独占禁止法や下請法(取適法)の適用関係を明確にするための文書も作成されました。
具体的には、発注者側が取引先に対し、SCS評価制度に基づく対策の要請を行うケースを想定し、発注者側・相手方がパートナーシップを構築してセキュリティ対策と価格交渉を実施し、円満に合意するに至るための想定事例及び解説が提示されています。
サプライチェーンリスクの種類
サプライチェーンが直面するリスクは多岐にわたります。ここでは主要なリスクを整理します。
自然災害リスク
地震、台風、洪水、火災などの自然災害により、生産拠点や物流網が被害を受けるリスクです。
具体的な影響:
- 工場の操業停止
- 物流ネットワークの寸断
- 原材料調達の遅延・停止
- 在庫の喪失
代表的事例:
2011年の東日本大震災では、地震や洪水を直接被っていない自動車工場等の生産に甚大な影響が及び、サプライチェーンの高度化・複雑化に伴うリスクが改めて認識されました。また、同年のタイの洪水でも同様の事態が発生しています。
2022年2月には、トヨタ自動車の主要な部品供給元である小島プレス工業がサイバー攻撃を受け、社内システムに大規模な障害が発生しました。この影響で部品の受発注システムが停止したため、トヨタ自動車は国内全14工場28ラインの稼働を一日停止せざるを得ない状況となりました。
サイバーセキュリティリスク
サプライチェーン攻撃は、業務での組織間の繋がりを悪用し、次の攻撃の踏み台とするサイバー攻撃全体を指します。侵入が難しいターゲット企業に直接侵入するのではなく、比較的セキュリティが緩い子会社や取引先を経由して、ターゲットとする企業に侵入します。
サプライチェーン攻撃の特徴:
- 通常の業務を通じてターゲット企業へ侵入するため、被害に気づくのが非常に難しい
- 気付かないうちに攻撃を受けている可能性がある
- 信頼している取引先を通じた攻撃となるため、侵入に気付きにくく、被害が深刻化しやすい
2024年の主要事例:
大手印刷業者へのランサムウェア攻撃(2024年5月)
全国の自治体や企業から印刷・情報処理業務を受託していた業務委託先企業がランサムウェア攻撃を受け、委託元から預かった個人情報が流出する事件が発生しました。本インシデントでは、少なくとも約150万件の個人情報が漏洩した可能性があると報告されています。
調査の結果、VPN機器の脆弱性を悪用した不正アクセスが攻撃の起点となっていました。攻撃者はVPN経由で同社のネットワークに侵入して機密データを窃取し、その後、ランサムウェアを展開してサーバーやPCを暗号化しました。さらに、業務効率化のために適切に削除されるべきデータが残存していたことが、情報漏洩の被害を拡大させた要因となっています。
IPAの調査結果(2025年2月発表)
2024年度中小企業等実態調査によると、2023年度にサイバーインシデントの被害を受けた企業のうち「不正アクセス被害を受けた」と回答した企業について、サイバー攻撃の手口を聞いたところ:
- 「脆弱性(セキュリティパッチの未適用等)を突かれた」との回答が48.0%で最も多い
- 次いで、「ID・パスワードをだまし取られた」との回答が36.8%
- 「取引先やグループ会社等を経由して侵入」との回答も19.8%
また、サイバーインシデントの被害を受けた企業のうち、全体の約3割に相当する「特に無し」を除くと、約7割が「サイバーインシデントにより取引先に影響があった」と回答しました。影響があったと答えた企業のうち:
- 「取引先にサービスの停止や遅延による影響が出た」との回答は36.1%
- 「個人顧客への賠償や法人取引先への補償負担の影響が出た」との回答が32.4%
- 「原因調査・復旧に関わる人件費等の経費負担があった」との回答も23.2%
サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼし、事業の継続性を脅かす実情が浮き彫りになっています。
2025年以降の新たな脅威:
- AI活用型攻撃の増加:AIを活用した巧妙なサイバー攻撃が目立つようになり、特にソフトウェアの開発工程でAIが生成した不正なプログラムを混入させたり、AIによってOSS(オープンソースソフトウェア)の脆弱性を発見し、それを悪用したりするソフトウェアサプライチェーン攻撃が増加傾向
- APT(Advanced Persistent Threat)攻撃の活発化:特定の国家が背後で関与するとされるサイバー攻撃で、特定の標的に対して長期間にわたり、気付かれないように潜伏しながら攻撃を続ける高度な脅威
地政学的リスク
国際情勢の変化、貿易摩擦、輸出入規制、為替変動などにより、サプライチェーンが影響を受けるリスクです。
具体的な影響:
- 特定国からの調達困難
- 関税引き上げによるコスト増
- 輸出入規制による納期遅延
- 政治的緊張による取引停止
サプライチェーンが国外に及ぶ場合では、各国における内紛や戦争、輸出入規制など政治リスクが関与するケースも忘れてはなりません。
サプライヤーの財務リスク
取引先企業の経営悪化や倒産により、調達が困難になるリスクです。
具体的な影響:
- 部品・原材料の供給停止
- 品質低下
- 代替サプライヤーの確保コスト
- 製品開発の遅延
東日本大震災では、震災関連倒産が発生し、サプライチェーンの一部が機能停止したことで、連鎖的に他企業の事業継続にも影響を及ぼしました。
リスク管理の具体的手法
リスクアセスメントの方法
サプライチェーンリスク管理の第一歩は、組織が直面する潜在的リスクを特定し、その影響度を評価することです。
実施手順:
- リスクの洗い出し
- 自然災害、サイバー攻撃、感染症など、事業継続を脅かす可能性のあるリスクを特定
- サプライチェーン上の各ポイントでのリスクを網羅的に検討
- 影響度の分析
- 特定したリスクが発生した場合の事業への影響を分析
- 重要業務を特定
- 利益・売上・マーケットシェアへの影響を時系列で評価
- 優先順位の設定
- リスクの発生確率と影響度を考慮
- 対策の優先順位を決定
サプライヤー評価基準
取引先や協力会社を含むサプライチェーン全体でのリスク評価が重要です。
評価すべき項目:
- セキュリティ対策状況
- SCS評価制度の★取得状況(2026年度以降)
- 情報セキュリティポリシーの有無
- 定期的なセキュリティ監査の実施状況
- BCP対策の実施状況
- 事業継続計画の策定状況
- 定期的な訓練の実施
- バックアップ体制の整備
- 財務健全性
- 財務諸表の確認
- 信用調査機関の評価
- 資金繰りの安定性
- 品質管理体制
- ISO等の認証取得状況
- 品質マネジメントシステムの運用状況
- 依存度の確認
- 特定の再々委託先への依存度
- 調達先の分散状況
評価の実施方法:
- 主要な取引先のBCP策定状況を確認し、必要に応じて支援を行う
- 定期的な情報交換会の開催
- 合同訓練の実施
- 取引先選定の際にBCP対策・セキュリティ対策の有無を評価基準に含める
モニタリング体制
サプライチェーンの状況を継続的に監視し、異常を早期に検知する体制を構築します。
モニタリングのポイント:
- 定期的な状況確認
- 取引先の経営状況の定期チェック
- セキュリティ対策の実施状況確認
- 納期遅延等の兆候の早期発見
- 情報共有の仕組み
- 取引先とのコミュニケーション体制
- リスク情報の共有プラットフォーム
- 緊急時の連絡網整備
- データ分析の活用
- SCM(サプライチェーンマネジメント)システムによる可視化
- 在庫状況、納期実績等のデータ分析
- 異常値の自動検知
BCP(事業継続計画)の策定
BCP(事業継続計画)とは、企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。
BCP策定のプロセス:
- 中核事業の特定
- 災害時に優先して継続すべき事業を特定
- 平常時の3割程度のリソースでも継続すべき事業の洗い出し
- 目標復旧時間の設定
- 各事業の許容停止時間を設定
- 復旧優先順位の決定
- 対策の立案
- バックアップシステムの構築
- 代替施設の確保
- サプライチェーン(供給網)の維持策
- 調達先の分散化
- 代替調達先の確保
- 在庫の適正管理
- 文書化と共有
- BCPを規程やマニュアル等へ文書化
- 全社で共有
- 教育・訓練
- 従業員への教育・訓練を実施
- 定期的なシミュレーション演習
サプライチェーンを考慮したBCP:
製造業でのBCP策定において最も重要と考えられるポイントは、サプライチェーン全体を考慮した内容とすることです。取引先の被災や事業中断は、自社の事業継続に大きな影響を及ぼす可能性があるため、サプライチェーン上のリスクを把握し、対策を講じることが重要となります。
取引先とのコミュニケーションを密にし、お互いのBCPを共有することも有効です。サプライチェーン全体で連携しながら、レジリエンス(回復力)を高めていくことが求められています。
実践的なツール・フレームワーク
SCS評価制度の活用方法
2026年度末の制度開始に向けて、企業が取り組むべきアクションを整理します。
段階的な取り組み:
- ★3の取得準備(全企業対象)
- 基礎的なシステム防御策の実施
- セキュリティ体制の整備
- 専門家の確認を受けられる体制の構築
- ★4の取得準備(標準的対策)
- 組織ガバナンスの強化
- 取引先管理の仕組み構築
- システム防御・検知体制の整備
- インシデント対応手順の策定
- 第三者評価への対応準備
- 中小企業向け支援策の活用
- 「サイバーセキュリティお助け隊サービス」(新類型)の利用検討
- 2026年春頃開始予定の実証事業への参加検討
発注元企業の対応:
- 取引先に対するSCS評価制度の★取得要請の検討
- パートナーシップ構築によるセキュリティ対策と価格交渉
- 独占禁止法や下請法を遵守した適切な要請方法の理解
ISO 28000等の業界標準
ISO 28000:サプライチェーンセキュリティマネジメントシステム
- サプライチェーンのセキュリティリスクを管理するための国際規格
- リスクアセスメント、セキュリティ計画、監視、改善のサイクルを規定
その他の関連規格・ガイドライン:
- ISO 22301:事業継続マネジメントシステム
- 内閣府「事業継続ガイドライン」(2023年改訂版)
- 中小企業庁「中小企業BCP策定運用指針」
- 自動車産業サイバーセキュリティガイドライン(JAMA/JAPIA)
リスク評価マトリクス
リスクの発生確率と影響度を組み合わせて、リスクレベルを評価する手法です。
評価軸:
- 発生確率:高・中・低
- 影響度:大・中・小
対応方針:
- 高確率×大影響:最優先で対策
- 中確率×中影響:計画的に対策
- 低確率×小影響:監視継続
サプライヤー監査チェックリスト
定期的なサプライヤー監査で確認すべき項目の例:
セキュリティ関連:
- [ ] SCS評価制度の★取得状況(2026年度以降)
- [ ] 情報セキュリティポリシーの策定・運用
- [ ] 従業員へのセキュリティ教育実施状況
- [ ] アクセス制御の実施状況
- [ ] 脆弱性管理の実施状況
- [ ] インシデント対応体制の整備
BCP関連:
- [ ] BCP策定状況
- [ ] 定期的な訓練実施状況
- [ ] バックアップ体制の整備
- [ ] 代替調達先の確保状況
財務・経営関連:
- [ ] 財務諸表の確認
- [ ] 経営状況のヒアリング
- [ ] 事業継続性の評価
まとめ
サプライチェーンリスク管理は、現代企業にとって避けて通れない重要な経営課題です。特に、2024年から2025年にかけてサプライチェーン攻撃が深刻化し、IPAの「情報セキュリティ10大脅威」で3年連続第2位にランクインするなど、その重要性は増すばかりです。
2025年12月に経済産業省が発表したSCS評価制度は、サプライチェーン全体のセキュリティ対策水準を統一し、可視化するための画期的な仕組みです。2026年度末の制度開始に向けて、企業は以下の準備を進める必要があります:
企業が取り組むべきアクション:
- 全企業共通
- サプライチェーンリスクの棚卸し
- BCP(事業継続計画)の策定・見直し
- SCS評価制度★3(基礎的対策)の取得準備
- 中核企業・大企業
- SCS評価制度★4(標準的対策)の取得準備
- 取引先へのSCS評価制度活用の促進
- サプライチェーン全体でのセキュリティレベル向上支援
- 中小企業
- 「サイバーセキュリティお助け隊サービス」(新類型)の活用検討
- 基礎的セキュリティ対策の着実な実施
- 取引先とのコミュニケーション強化
継続的な取り組みの重要性:
サプライチェーンリスク管理は一度対策を実施すれば完了するものではありません。外部環境の変化、新たな脅威の出現、技術革新などに応じて、継続的に見直し、改善していく必要があります。
特に、AIを活用した攻撃の増加やAPT攻撃の活発化など、2025年以降も新たな脅威が次々と現れることが予想されます。定期的なリスク評価、訓練の実施、最新情報の収集を通じて、常に最適な状態を維持することが重要です。
サプライチェーン全体で連携し、レジリエンス(回復力)を高めることで、不測の事態にも対応できる強靭な事業基盤を構築しましょう。SCS評価制度はその第一歩となる重要な施策です。2026年度の制度開始を見据え、今から準備を進めることをお勧めします。
コメント