サプライチェーンの「格付け」で取引先が決まる時代

自社のセキュリティをどれだけ固めても、委託先の「抜け穴」から情報は漏れる。 2026年、経済産業省が動き出した新制度は、企業のセキュリティ対策を★（スター）の数で可視化し、その格付けが受注できるかどうかを左右する現実をつくろうとしている。

約9,500字読了時間約20分

セキュリティはもはや「コスト」ではない。
商談のテーブルに着くための「入場券」だ。— 2026年のビジネス現場、変わりつつある常識

「うちは大丈夫」が一番危ない
攻撃者の「偵察」はOSINTから始まっている
1. 「弱い輪」の探し方
経済産業省が動いた——「SCS評価制度」とは何か
海外はどうしているか——日本だけじゃない世界の潮流
「中小企業は関係ない」という思い込みの罠
OSINT的考察——「格付け情報」の公開は諸刃の剣
1. 攻撃者が格付けデータベースを使うとしたら？
「セキュリティ格付け」で変わるビジネスの風景
今すぐできる「格付け対策の第一歩」
「コストではなく入場券」という意識改革
「鎖の最も弱い輪」にならないために
まとめ：押さえておきたい3つのポイント

「うちは大丈夫」が一番危ない

2022年3月1日、トヨタ自動車の国内全工場——14工場28ライン——が突然、静かになった。生産ラインが止まり、約1万3,000台分の生産が遅れた。原因はトヨタ本体へのサイバー攻撃ではない。樹脂部品を納めていた取引先、小島プレス工業のサーバーが攻撃を受けたのだ。

トヨタのセキュリティ対策が甘かったわけではない。しかし、つながっている取引先の一社がダウンしただけで、世界有数の自動車メーカーが丸一日、手足を縛られた。これがサプライチェーン攻撃の本質だ。「鎖は最も弱い輪の強さでしか保てない」という古い格言が、いまやサイバーセキュリティの真理になっている。

2024年には、全国の自治体・企業から印刷・情報処理業務を受託していた大手印刷業者がランサムウェア攻撃を受け、委託元から預かった個人情報が約150万件流出した。 VPN機器の脆弱性を突かれて侵入を許し、さらに「本来削除すべきデータが残存していた」という管理不備が被害を拡大させた。被害を受けたのは印刷業者だけではない。委託元の企業や自治体も、顧客への謝罪、信頼回復のコスト、風評被害を背負うことになった。

2025年9月には、大手飲料会社のアサヒグループホールディングスがランサムウェア攻撃を受け、商品の受注・出荷が停滞。セブン‐イレブンや松屋フーズといった大手取引先が欠品の影響を公表する事態になった。自分たちは攻撃されていなくても、サプライヤーが倒れれば商売が止まる——その現実を、私たちは繰り返し目撃している。

2位

IPA「情報セキュリティ10大脅威2025（組織編）」でのサプライチェーン攻撃の順位（3年連続）

約半数

2024年上半期のランサムウェア感染事例のうちサプライチェーン攻撃が原因の割合

150万件

2024年5月の大手印刷業者へのサプライチェーン攻撃で漏洩した個人情報の規模

攻撃者の「偵察」はOSINTから始まっている

ここで少し、攻撃者の視点で考えてみよう。プロの攻撃者たちは、いきなりシステムに侵入しようとはしない。まず「偵察」をする。そしてその偵察に使われているのが、 OSINT（オシント：Open Source Intelligence）と呼ばれる手法だ。

OSINTとは、インターネット上の公開情報を体系的に収集・分析して情報を得る技術のこと。もともとは諜報機関が使っていた手法だが、いまや攻撃者も防御側も活用している。攻撃者はOSINTを使って何をするか？たとえばこんなことだ。

■ 攻撃者のOSINT偵察シナリオ

「弱い輪」の探し方

大手メーカーAを狙いたい攻撃者がいるとする。Aのサイトは堅牢だ。しかし攻撃者はまず、Aの取引先を調べる。プレスリリース、決算短信、採用情報、 LinkedIn……公開情報を掘り起こすと、Aが使っているクラウドサービス、共同で利用しているシステム、IT管理を委託している中小企業が見えてくる。

次に、その中小企業のドメインをスキャンするツールを使う。使われているVPNソフトのバージョン、公開されているサブドメイン、メールサーバーの設定——こうした情報から「脆弱性の匂い」を嗅ぎ取る。そして、そこを突く。侵入した後は、ネットワークをつたって本命のAへと向かう。

こうした偵察に使われる代表的なOSINTツールを把握しておくことは、防御側にとっても重要だ。自社が「外から見てどう見えるか」を先に把握できるからだ。

主なOSINTツール例：

Shodan Censys theHarvester Maltego FOFA SecurityTrails GreyNoise

※ これらのツールは脆弱性診断やペネトレーションテストなど正当な目的にも使われる。自社の「攻撃面（アタックサーフェス）」を把握するために防御側が活用することが推奨される。

OSINT的な観点でいうと、企業が知らず知らずのうちに「弱さ」を公開してしまっているケースは驚くほど多い。開発者が誤ってGitHubにAPIキーをアップロードしたまま放置、採用サイトに「弊社はXXXというVPNを使用しています」と書いてある、はたまた求人票に「レガシーシステムの保守経験者歓迎」と書いてあることで古いシステムを使っていると察される……。これらはすべて攻撃者の「エサ」になる。

一般社団法人情報通信ネットワーク産業協会（CIAJ）の調査報告書でも、 「攻撃者は闇雲に攻撃しているのではなく、OSINTツール等で十分に偵察・分析してから攻撃を仕掛けている」 と指摘されている。つまり、無防備に見える企業は「選ばれやすい」のだ。

経済産業省が動いた——「SCS評価制度」とは何か

こうした状況を受け、日本政府がついに動き出した。経済産業省は2024年に検討を開始し、2025年4月に中間取りまとめを公表、 2026年10月の本格運用開始を目指して「サプライチェーン強化に向けたセキュリティ対策評価制度 （通称：SCS評価制度）」を整備している。

この制度のコアにあるアイデアはシンプルだ。企業のセキュリティ対策レベルを ★（スター）の数で可視化・格付けする。そして、発注企業が取引先に対して「うちと取引するには★4以上が必要です」といった形で、セキュリティ水準を明示できるようにする。

従来のセキュリティチェックは、取引先ごとに問い合わせ票や審査の様式が異なり、受注企業は複数の取引先から異なるフォーマットで膨大な質問を受け、回答に多大な時間を取られていた。発注企業も「本当に大丈夫か」を外部から客観的に判断する手立てがなかった。 SCS評価制度はこの「共通言語の不在」という根本的な問題を解決しようとしている。

評価レベル	名称	対象・概要	評価方法
★★ 以下	既存制度	IPAの「SECURITY ACTION」★1・★2を流用。基本的なIT環境整備・自己宣言レベル	自己宣言
★★★	Basic	一般的なサイバー攻撃を想定した基礎対策。ID・パスワード管理、脆弱性対応、ウイルス対策など25項目。全サプライチェーン企業が最低限達成すべき水準	自己評価（専門家助言が必要）
★★★★	Standard	サプライチェーン攻撃を想定した包括的な対策。取引先管理・ガバナンス整備・インシデント復旧まで含む。「サプライチェーン企業が標準的に目指すべき水準」と経産省が位置づける	第三者評価機関による認定（3年更新）
★★★★★	Advanced	高度な攻撃への対応を含む最高水準。国際的に厳格な基準への準拠が必要。詳細は2026年度以降に具体化予定	第三者評価機関による認定

重要なのは、「自分が取りたいランクを選ぶ」制度ではないという点だ。取引先（発注元）が「うちへの納入には★4が必要」と指定する。その水準に達していなければ、受注機会を失う可能性がある。経産省の関係資料でも「早ければ2027年度の取引条件として本制度が参照される可能性がある」と明示されている。

「セキュリティの格付けを持っていない企業は、そもそも商談のテーブルに呼ばれない」という時代が、すぐそこまで来ている。

海外はどうしているか——日本だけじゃない世界の潮流

こうした動きは日本だけではない。むしろ日本は「追いかけている側」といえる。

アメリカでは、国防総省が取引先に要求する「CMMC（Cybersecurity Maturity Model Certification）」がすでに段階的に運用されており、防衛関連の契約を取るためにはセキュリティ認定が必須の条件になっている。日本の防衛省も2023年から同様のアプローチを検討し始めており、防衛産業のサプライチェーンへの要求が強まっている。

イギリスでは「Cyber Essentials」という制度が機能しており、政府との取引にはこの認定取得が求められる。この制度は日本のSCS評価制度の設計にも参考にされている。

EU（欧州連合）では「NIS2指令」が2024年10月から各国で本格施行されており、重要インフラ関連企業だけでなく、そのサプライチェーンを構成する企業にもセキュリティ義務を課す内容になっている。日本に製品やサービスを提供するEU企業との取引でも、このNIS2への準拠を問われるケースが今後増えると予想される。

📌 CASE STUDY — 自動車業界の先行事例

JAMA/JAPIA ガイドライン：自動車業界はすでに「格付けの先輩」

実は日本の自動車業界はSCS評価制度より前から、独自のセキュリティ基準「自工会/部工会サイバーセキュリティガイドライン」を策定し、取引先への要求を行ってきた。トヨタ、ホンダ、日産など大手OEM（完成車メーカー）が、サプライヤーに対して「このガイドラインに基づいて対策を実施してください」と要求するスタイルだ。

自動車業界の経験から得られた教訓は「チェックリストを渡すだけでは機能しない」ということ。中小のティア2・ティア3サプライヤーには、具体的な支援（ツール提供、診断サービスなど）がなければ対応できないケースが多い。SCS評価制度でも同様の課題が予想されており、大企業が中小サプライヤーを支援する仕組みをどう作るかが今後の焦点だ。

「中小企業は関係ない」という思い込みの罠

「うちは中小企業だから、そんな格付けは関係ない」——よく聞くセリフだ。しかしこれは、重大な誤解かもしれない。

攻撃者の視点では、中小企業こそが「狙い目」だ。大企業は多額のセキュリティ投資をしており侵入が難しい。だから攻撃者は、大企業とネットワーク的・業務的につながっている中小企業を足がかりにする。中小企業は被害者であると同時に、大企業への攻撃を媒介する「加害者」にもなりうるのだ。

また、SCS評価制度の観点でいうと、発注企業が受注企業に★4を要求するとき、受注企業（たとえば中堅メーカー）は自分たちの委託先（さらに小さな企業）にも同水準を要求するかもしれない。このように、格付けへの要求は「上流から下流へ」と波及していく構造になっている。結果として、最終的にはほぼすべての企業がどこかで格付け制度と向き合うことになる。

📌 CASE STUDY — フランス大手製薬会社日本法人の事例（2024年8月）

「業務委託先の個人PC1台」から73万人の個人情報が漏洩

大手製薬会社の日本法人で、同社のデータベースへの不正アクセスが発覚し、 73万3,820人分の医療従事者の個人情報が漏洩した。

原因は驚くほどシンプルだった。同社の業務委託先である「海外コンサルタント個人のPC」がマルウェアに感染していたのだ。その個人のPCから認証情報が盗まれ、大企業のデータベースへの入口に使われた。

このケースは「フリーランス1名のPCが感染したことで、大企業73万件の情報が漏れた」という極端な非対称性を示している。もしその業務委託先が格付け制度で★3以上の評価を持っていれば、最低限のマルウェア対策が確認されていたはずだ。格付け制度はこうした「見えないリスク」の可視化にも機能する。

OSINT的考察——「格付け情報」の公開は諸刃の剣

SCS評価制度では、各★レベルの取得企業を「公表する」ことが想定されている。つまり、「この会社は★4を持っている」という情報がオープンになる。これはビジネス上の信頼証明として非常に有効だ。しかし、OSINT的な観点から見ると、注意すべき側面もある。

★3しか取れていない企業が一覧に載った場合、攻撃者にとって「比較的攻撃しやすい企業リスト」として機能する可能性があるのだ。「★3企業とビジネスでつながっている★5企業」を探して、そこを経由して侵入するというシナリオは十分に考えられる。

■ OSINT的考察：格付け公開情報の「裏の読み方」

攻撃者が格付けデータベースを使うとしたら？

制度運用後、格付け情報が公開された場合、攻撃者はこんな使い方をするかもしれない。 ①ターゲット企業（★5）の取引先一覧を調べる。 ②取引先の格付けを確認し、★3の企業を特定する。 ③★3企業にフィッシングメールを送り侵入。 ④ターゲットの★5企業へのネットワーク経路を探る。

これは格付け制度の問題というより、「公開情報はすべてOSINTに使われうる」という普遍的な教訓だ。制度設計する側も、格付け情報の開示方法（誰に・どこまで開示するか）を慎重に設計する必要がある。

防御側も同様に、自社が「どんなセキュリティ情報を公開しているか」を定期的にOSINT的視点でセルフチェックすることが、制度本格運用後にはより重要になっていくだろう。

「セキュリティ格付け」で変わるビジネスの風景

SCS評価制度が本格稼働した先に、ビジネスの風景はどう変わるか。いくつかのシナリオを考えてみたい。

① 格付けが「営業ツール」になる

「弊社は★4認定取得済みです」という表現が、営業資料やウェブサイトに当たり前に載るようになる。BtoB取引では提案時に格付け証明書の提出を求められるようになり、セキュリティ投資が直接受注率に反映される時代がくる。セキュリティ担当者が「コスト削減の対象」ではなく「売上貢献者」として経営に貢献できる構図の転換点になる可能性がある。

② 中小企業のセキュリティ投資が加速する

「格付けを取らないと仕事を失う」というプレッシャーは、これまでセキュリティ投資を先送りしてきた中小企業を動かす。セキュリティ関連の支援サービス市場が拡大し、診断・認定・運用支援を一括して提供するビジネスが急成長するだろう。

③ 格付けの「維持コスト」が経営課題になる

★4の認定は取得すれば終わりではない。3年ごとの更新が必要で、毎年の自己評価も義務づけられる（★4の場合）。格付けを維持するためのランニングコストが発生し続けるため、それを見越した事業計画が必要になる。

④ 「格付け格差」がM&Aに影響しはじめる

企業買収やパートナーシップ選定の際に、対象企業の格付け状況がデューデリジェンスの重要項目になる可能性がある。高格付け企業はより高いバリュエーションを得られる一方、未取得・低格付けの企業は「セキュリティリスクのある会社」として評価が下がるかもしれない。

今すぐできる「格付け対策の第一歩」

2026年10月の制度開始まで、残り時間は多くない。しかも★4を目指す場合、第三者評価機関による認定が必要であり、審査の準備・受審・認定取得まで相応の時間がかかる。「制度が始まったら考える」では間に合わない可能性が高い。

✦ 今日から始めるチェックリスト（★3 Basicを目指す企業向け）

情報資産の棚卸し：どんなデータをどこに保存しているか把握する。特に「預かっている他社データ」の場所と管理状況を確認する
ID・パスワード管理の見直し：使い回し・脆弱なパスワードの廃止、多要素認証（MFA）の導入状況を確認する
VPNやリモートアクセスの脆弱性確認：使用中のVPN機器のバージョンを確認し、アップデートが当たっているか確認する（多くの侵入経路がここだ）
ソフトウェアの脆弱性対策：OSやソフトウェアのパッチ適用が最新か確認する
ウイルス対策ソフトの導入・更新：全端末での導入と定義ファイルの最新化を確認する
外部公開情報のOSINTチェック：自社のドメインやIPアドレスについて、Shodan等で外から「何が見えているか」を一度確認してみる
インシデント対応手順の整備：もし攻撃を受けたときに「誰が」「何を」するか、手順書を作成する
目標★レベルの経営層との合意：★3か★4か、取引先の要求水準を踏まえて方針を決め、予算を確保する

経産省が示している「★3（Basic）」の要求事項は現在25項目とされており、まず自己評価ツールを使って現状と目標のギャップを把握することから始められる。 IPAの「サイバーセキュリティ経営ガイドライン」や「中小企業の情報セキュリティ対策ガイドライン」は無料で入手できる優れた出発点だ。

「コストではなく入場券」という意識改革

日本のセキュリティ予算は、欧米に比べてまだ少ない傾向にある。「セキュリティに投資しても売上は増えない」という考え方が根強い。しかし、SCS評価制度が本格運用されると、この発想は完全に時代遅れになる。

格付けを持っていなければ、大企業の入札に参加すらできなくなるかもしれない。政府調達への参加要件にもなりうる。格付けは「守りのコスト」ではなく、 「ビジネスチャンスを得るための入場券」なのだ。

もう少し踏み込んで考えると、格付けを取得した企業は「信頼できるサプライチェーンの一員」として、長期的な取引関係においても優位性を持つ。一度格付けが定着すれば、それを持つ企業と持たない企業の間に「選ばれる企業・選ばれない企業」という二極化が進んでいくだろう。

逆に言えば、いま先手を打ってセキュリティ体制を整えた企業が、 2027年以降の取引市場で大きなアドバンテージを得る。セキュリティへの投資は「将来のリスクを減らす保険」であると同時に、「将来の売上を確保する営業投資」でもある——そう捉え直す時が来ている。

格付けの低さは、企業の「信用スコア」が低いのと同じ意味を持ち始めた。銀行融資の審査に信用スコアが必要なように、BtoB取引にセキュリティスコアが必要な時代が来る。

「鎖の最も弱い輪」にならないために

トヨタの全工場を止めた、小さな部品メーカーへの攻撃。 150万件の個人情報を流出させた、大手印刷業者のVPN侵害。フリーランス1名のPCから始まった、73万人の医療従事者情報漏洩。

これらの事件が教えてくれるのは、サイバーセキュリティとはもはや「IT部門の問題」ではなく「経営の問題」であり、「自社だけの問題」ではなく「ビジネス生態系全体の問題」だということだ。

SCS評価制度は、その生態系に「共通言語」と「可視化の仕組み」をもたらそうとしている。制度そのものが完璧であるかどうかはこれからの議論が必要だが、「サプライチェーン全体のセキュリティ水準を上げなければならない」という方向性は疑いようがない。

あなたの会社は、鎖の「強い輪」か「弱い輪」か——。その問いへの答えが、間もなくスター（★）の数で可視化される。その前に、自分自身でその問いに向き合っておくことが、今できる最善の準備だ。

まとめ：押さえておきたい3つのポイント

① サプライチェーン攻撃は「他人事」ではない。 自社のセキュリティがどれだけ堅固でも、取引先・委託先の弱点から情報漏洩・業務停止が起こりうる。日本でのインシデント件数は増加の一途をたどっている。

② 経産省のSCS評価制度（2026年10月〜）で、セキュリティが「格付け」される。 ★3〜★5の3段階で、発注企業が取引先に必要な★レベルを指定できるようになる。格付けを持たない企業は、受注機会を失う可能性がある。

③ 「入場券」の取得は今すぐ始めるべきだ。 特に★4認定は第三者評価が必要で、準備に時間がかかる。まずは現状把握（ギャップ分析）と目標★レベルの経営判断から。 OSINTで「外から見た自社の弱点」を知ることも有効な第一歩。