自社のセキュリティはしっかりしている。でも、取引先が攻撃されて自社の情報が漏れた
2025年、国内で公表されたセキュリティインシデントのうち、侵入口として最も多かったのは「他組織(委託先・取引先)」でした。トレンドマイクロの調査によると、この経路からの被害が111件中105件を占め、事実上のトップカテゴリとなっています。自社の城壁を高くしても、隣の塀が低ければ意味がない。これが2025〜2026年のサイバーセキュリティの現実です。
本記事では、サプライチェーン攻撃とランサムウェアの交差点で何が起きているかを最新データで示し、行動経済学・認知科学・成功者の意思決定パターンをもとに、費用感と社内運用の具体的な組み立て方まで解説します。
なぜ「自社だけ守っても意味がない」のか:サプライチェーン攻撃の構造
サプライチェーン攻撃とは、セキュリティの堅牢な大企業を直接攻撃するのではなく、その取引先・委託先・ソフトウェアベンダーといった「周辺の弱い輪」を踏み台にして侵入する手口です。攻撃者の論理は単純明快です。守りの堅い正面玄関より、鍵のかかっていない勝手口の方が効率がいい。
2025年の象徴的な国内事例:四次被害まで連鎖したサプライチェーン攻撃
2025年10月、AIによるデータ入力ツールを提供するローレルバンクマシン株式会社がランサムウェア攻撃を受けました。この攻撃は同社だけで終わりませんでした。ローレル社のツールを使用して作業を行っていた日本アスペクトコア株式会社が二次被害を受け、日本アスペクトコアに業務委託していた複数の組織が三次・四次被害を受けました。銀行・証券など金融機関の顧客データが、直接契約のない再委託先のツール経由で漏洩するという「逆流型サプライチェーン被害」です。
この事例が示す本質は、「自社は攻撃されていない」という認識が最も危険だということです。
IPAが4年連続で1位・2位に認定した2大脅威
IPA(情報処理推進機構)の「情報セキュリティ10大脅威2026」では、組織向け脅威の1位が「ランサム攻撃による被害」、2位が「サプライチェーンや委託先を狙った攻撃」で、2023年以降4年連続で順位に変動がありません。この2つは実際には分離できません。サプライチェーン攻撃の最終的な武器として使われるのがランサムウェアだからです。
認知科学が教える「なぜ対策が後回しになるか」の本当の理由
サプライチェーンセキュリティの問題を知りながら、行動に移せない企業が多い。これは意志や予算の問題ではなく、人間の認知の仕組みに根本原因があります。
責任分散バイアス(Diffusion of Responsibility)
「サプライチェーン全体のセキュリティ」という課題は、誰か一人の責任ではないと感じさせます。心理学の古典的実験が示すように、責任を持つ人数が増えるほど、一人ひとりが感じる責任感は薄まります。「取引先のことは取引先が考えるべき」「自社の社内ネットワークは情シスが守っている」という縦割りの思考が、組織全体のセキュリティに穴を開けます。
心理的距離バイアス(Psychological Distance)
認知科学の解釈レベル理論では、遠い将来・遠い場所・自分以外の人に起きることは抽象的に、今・ここ・自分に起きることは具体的に認識すると説明されます。「委託先経由で攻撃される」という事象は、心理的に「遠い話」に感じやすい。しかし実際には、2025年の国内インシデントの最多侵入口は「他組織」であり、これはすでに「今・ここ」の話です。
構成の錯誤(Fallacy of Composition)
「自社のセキュリティが高ければ、全体として安全」という思い込みです。個々の部品が優秀でも、システム全体として脆弱なことは十分あり得ます。経済学で言えば個人に合理的なことが集団に合理的とは限らない——セキュリティも同じです。
これらのバイアスを認識した上で、具体的な対策の組み立てに入ります。
サプライチェーンセキュリティ対策:「管理する側」と「管理される側」に分けて考える
サプライチェーンセキュリティには2つの立場があります。発注元として取引先を管理する側と、委託先として取引先から管理される側。多くの中小企業は両方の立場に同時に立っています。
発注元として「取引先を管理する側」がやるべきこと
アクション1:取引先のセキュリティリスクを「見える化」するための質問票を整備する
まず、取引先のセキュリティ状況を把握するための標準質問票を作ります。一から作る必要はありません。IPAが公開している「情報セキュリティ関係規程(サンプル)」や、経済産業省が推進するSCS評価制度(後述)の要求事項リストを参照してください。最低限確認すべき項目は以下の5点です。
- 多要素認証(MFA)の導入状況(VPN・クラウドサービス含む)
- パッチ・アップデートの適用ルールと頻度
- バックアップの方式と保管場所(本番環境から隔離されているか)
- インシデント発生時の報告ルールと連絡先の整備状況
- 社員向けセキュリティ教育の実施状況(年1回以上か)
アクション2:契約書にセキュリティ条項を明示する
取引先との契約書に「セキュリティインシデント発生時の報告義務」「個人情報の取扱いに関する規定」「再委託時のセキュリティ要件の引き継ぎ義務」を明記してください。口頭での確認や信頼関係だけでは、インシデント発生後の責任の所在が曖昧になります。契約書は感情に左右されない「仕組み」です。
アクション3:接続権限の最小化と定期見直し
取引先・委託先に付与しているシステムアクセス権限を定期的(最低年1回)に棚卸しします。「プロジェクトが終わったのにアクセス権が残ったまま」という状態は、攻撃者にとって招待状です。Active DirectoryやIDaaS(クラウド型ID管理)のアクセスログを四半期ごとに確認する運用ルールを今月中に決めてください。
受注者として「管理される側」がやるべきこと:2026年開始のSCS評価制度
経済産業省と内閣官房国家サイバー統括室は、「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」を2026年度末頃の運用開始を目指して整備中です。★3〜★5の段階評価で自社のセキュリティレベルを第三者が認定するこの制度は、将来的に企業間取引の事実上の前提条件になると予測されています。
今から準備すべき★3・★4レベルの要求事項は7分類です。
- ガバナンスの整備:セキュリティ方針の策定と経営層の関与
- 取引先管理:自社も委託先のセキュリティを管理できているか
- リスクの特定:自社の情報資産とリスクの把握
- 攻撃等の防御:MFA・パッチ・アクセス制御の実施
- 攻撃等の検知:ログ監視・異常検知の仕組み
- インシデントへの対応:初動対応計画と連絡フローの整備
- インシデントからの復旧:バックアップと事業継続計画(BCP)
「いつかやる」では制度開始時に取引条件を満たせないリスクがあります。今年度中の着手が必要です。
ランサムウェア対策:サプライチェーンの文脈で「何が変わったか」
既存のランサムウェア対策の知識に、サプライチェーンの視点を加えると、優先すべき対策が変わります。
変化1:バックアップだけでは「身代金を払わない理由」にならなくなった
現在の攻撃の約82%は、データ暗号化と情報漏洩脅迫を組み合わせた「二重脅迫」型です。自社のデータを復旧できたとしても、「取引先の情報も盗んだ。公開されたくければ払え」という新たな脅迫が発生します。委託元への二次被害を起こしかねないという点で、これはサプライチェーン上の企業として取引先を巻き込む問題です。
変化2:潜伏期間の短縮で「気づいたときには手遅れ」が現実になった
2022年時点で平均16日あったランサムウェアの潜伏期間(侵入から攻撃実行まで)が、2025年にはわずか4日に短縮されています。週次・月次の定期確認では発見が間に合わない可能性があります。リアルタイムに近い監視(EDR・SIEM・MDR)の必要性が高まっているのはこのためです。
変化3:基幹システムが直接標的になった
トレンドマイクロの分析では、ランサムウェア攻撃グループが「仮想化基盤など基幹システムが稼働しているシステム」を優先標的にする動きが2024〜2025年に顕著になったと指摘されています。「基幹システムへの直接侵入経路はない」という思い込みを捨て、認証方式・脆弱性・アクセス権限を点検する必要があります。
費用の全体像:「対策コスト」と「被害コスト」を経営判断として並べる
費用の話を感情論や脅し抜きで整理します。数字を見て、経営判断として考えてください。
被害時のコスト(実績ベース)
| コスト項目 | 目安・実績 |
|---|---|
| システム復旧費用 | 1,000万円以上が被害企業の5割超(警察庁2025年データ) |
| フォレンジック調査費用 | 原因調査のみで200〜500万円規模 |
| 個人情報漏洩対応(通知・コールセンター等) | 数百万〜数千万円(漏洩件数による) |
| 業務停止による機会損失 | 業種・規模で大幅に異なる。復旧まで数週間〜数ヶ月の事例あり |
| 委託元からの損害賠償請求 | サプライチェーン経由の二次被害を出した場合、請求リスクあり |
| 信用失墜・取引停止 | 中小企業では取引解除に直結した事例が複数確認されている |
対策コストの目安(中小企業・50名規模を想定)
| 対策内容 | 費用目安 | 備考 |
|---|---|---|
| 多要素認証(MFA)全社導入 | 月額1〜5万円 | Microsoft Authenticator等、既存契約内で利用可能な場合も多い |
| EDR(高度エンドポイント検知) | 月額5,000円/端末×50台=月25万円 | 従来のウイルス対策ソフトとの置き換えで導入コスト削減可 |
| クラウドバックアップ(書き換え不可設定) | 月額数万円〜(データ量による) | AWS S3オブジェクトロック等を活用 |
| メールセキュリティ強化 | 月額5〜30万円 | サンドボックス分析・添付ファイル無害化含む |
| 取引先向けセキュリティ質問票の整備・運用 | 初期:専門家活用で30〜80万円程度、その後は内製運用可 | IPAのサンプル活用で低コスト化可能 |
