経産省、サプライチェーン向けセキュリティ評価制度を中間発表─2026年度導入が目標

2025年4月14日、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表し、企業のサイバーセキュリティ対策を可視化する新たな制度の検討状況を明らかにした。

経産省が発表した資料によると、「セキュリティ対策を各企業に任せるより、国として制度化を目指すべきではないか」といった意見もあり制度検討に至ったという。サイバー攻撃の脅威が増す中、サプライチェーン全体のセキュリティ強化を目指すこの制度は、2026年度中の運用開始を目標としている。

サプライチェーンのセキュリティ課題

近年、サイバー攻撃はサプライチェーンを標的とするケースが増加している。受注企業は取引先ごとに異なるセキュリティ基準を求められ対応に追われる一方、発注企業は取引先の対策状況を正確に把握することが難しい。この不透明さが、セキュリティの弱点を悪用する攻撃者にとって格好の標的となっている。

2021年の「ソーラーウインズ事件」では、ソフトウェアのアップデートを通じて複数の企業や政府機関が攻撃を受けた。日本でも2023年、大手製造業のサプライヤーがランサムウェア被害を受け、部品供給の遅延が自動車生産に影響を及ぼした。

情報セキュリティリスク

今回の制度では、取引先へのサイバー攻撃等を起因とした情報セキュリティリスク（機密性・可用性・完全性への影響）に加えて、製品・サービスの提供途絶リスク（事業継続性への影響）、及び取引ネットワークを通じた不正侵入等リスクを、対象とするサプライチェーンリスクとして想定しているとする。

発表された資料では、リスクの例として以下が記されている。

サプライチェーン企業へのサイバー攻撃等に起因する、調達部品の供給遅延・停止
調達したクラウドサービスへのサイバー攻撃等に起因する、クラウドサービスの停止サプライチェーン
企業へのサイバー攻撃等に起因する、機密情報の漏えい・改ざん
マネージドサービス等へのサイバー攻撃等に起因する、機密情報の漏えい・改ざん
調達したクラウドサービスへのサイバー攻撃等に起因する、クラウドサービスの停止
サプイチェーン企業の環境を踏み台とした、発注者側システム環境への不正侵入
マネージドサービス等の環境を踏み台とした、発注者側システム環境への不正侵入

サイバー攻撃の事例

鉄鋼商社のランサムウェア攻撃

2023年2月、鉄鋼商社の岡谷鋼機がランサムウェア攻撃を受け、システムの一部が停止。部品供給網に影響が及び、一部顧客（製造業）の調達プロセスに遅延が発生したと報じられた。具体的な生産停止の規模は非公開だが、サプライチェーンの中核企業である商社のシステム停止が、部品調達の遅延を引き起こした。

自動車の主要部品サプライヤーへランサムウェア攻撃

2022年2月、トヨタ自動車の主要部品サプライヤーである小島プレス工業が、ランサムウェア攻撃を受け、システムが停止。トヨタの部品調達を管理するシステムが影響を受け、部品供給が一時的に停止した。

これにより、トヨタは国内全工場（14工場28ライン）の稼働を停止、これにより約1万台の車両生産が遅延。日野自動車やダイハツ工業も同様に国内工場を停止するなど混乱は自動車業界全体に波及し、経済損失が発生。サプライヤーのセキュリティ不備が発注企業に直接影響を及ぼした。

サプライチェーン企業を踏み台に、発注者システムへ不正侵入

サプライチェーン企業の環境を踏み台とした、発注者側システム環境への不正侵入の事件としては、2023年10月、NTT西日本の業務委託先の従業員が不正アクセスを行い、約900万件の顧客情報（個人・法人データ）が漏えいした可能性が公表された事件が挙げられる。攻撃は委託先の認証不備や監視不足が原因とされる。

マネージドサービス環境を介した個人情報流出

マネージドサービスの環境を踏み台とした、発注者側システム環境への不正侵入としては、2024年、国の医療支払処理企業Change Healthcareが、サードパーティベンダーのマネージドサービス環境の脆弱性を悪用したランサムウェア攻撃があげられる。これにより6テラバイトの患者データが盗まれ、顧客企業のシステムに不正アクセスが発生した。