〒151-0053 東京都渋谷区代々木4-15-6-107

受付時間
9:00~17:00
定休日
土・日・祝

お気軽にお問合せ・ご相談ください

0120-980-108

本ページでは製造業のサイバー攻撃によるサプライチェーンリスクについて説明いたします。

●はじめに                                                                                                                                 

サイバーリスクは、いまや企業経営における重要な課題の一つです。特に近年は、サプライチェーンを経由したサイバー被害が増加しており、中小企業も例外ではありません。攻撃者は大企業を直接狙うだけではなく、セキュリティ対策が比較的手薄な取引先や下請企業を標的とし、そこを経由して侵入を図るケースが増えています。警察庁IPA(情報処理推進機構)が直近のデータをもとに注意喚起を行っています。こうした状況を受け、経済産業省は2027年より、サプライチェーン全体の安全性向上を目的とした「SCS(サプライチェーンセキュリティ)評価制度」の運用開始を予定しています。また、高度な破壊力を持つAI(クロード・ミトスClaude Mythos等)によるサイバー攻撃に対して、日本政府が緊急の対応を行っています。

●サプライチェーン攻撃とは ?                                                                                        

製造業のサプライチェーンは多くの企業で構成されているため、一つの企業の脆弱性が全体へのリスクにつながることがあります。いまやランサムウェアをはじめとしたサイバー攻撃は企業規模を選びません。セキュリティ対策が不十分な企業を無差別に攻撃するため、セキュリティリテラシーやサイバー攻撃に対する対策が脆弱な中小企業が被害に遭うケースが増大しています。そこからサプライチェーン攻撃を通じて、大手取引先や関連会社のネットワークに侵入し、システムの乗っ取りやすい情報を搾取するといった事案が急増しています。

●サイバー被害の現況                                                                                         

令和8年警察庁のレポートでサイバー攻撃の被害状況について公表しています。組織の規模別で見ると、前年と同様に中小企業が約6割を占めています。業種別では、製造業が約4割を占め、続いて卸売・小売業、サービス業、情報通信業が上位となっていますが、様々な業種で被害が確認されています。

●製造業における3つのサイバーリスク                      

①  踏み台リスク<取引先への被害の拡大>

自社のPCやネットワーク機器が攻撃者に乗っ取られ、取引先への攻撃の中継地点として悪用されるリスクです。

 ▼踏み台のメカニズム

 ・侵入:セキュリティ対策が比較的弱い企業のPCやサーバへマルウェアを感染させる。

 ・権限奪取:感染端末を足掛かりに、社内ネットワーク内部で権限を取得する。

 ・攻撃拡大:自社の認証情報を利用し、取引先や元請企業の機密情報・基幹システムへ攻撃を行う。

②  企業情報漏洩リスク

取引先情報や顧客情報など、自社が保有する第三者情報の漏洩は、社会的信用の失墜や損害賠償につながる可能性があります。単なるデータ紛失にとどまらず、事業停止や取引縮小など、企業経営そのものに重大な影響を及ぼすリスクがあります。

③  自社のサイバー被害の対応

実際にサイバー被害を受けた場合、企業には迅速かつ専門的な対応が求められます。被害状況の確認、被害拡大防止、証拠保全、ログ解析など、デジタル・フォレンジックの対応が必要となり、その費用は高額化しています。

 

●製造業のサイバー被害例                           

小島プレス工業(2022年)【子会社の脆弱性を悪用】                                                        

経緯トヨタ自動車の主要仕入れ先である同社がランサムウェア攻撃を受けた。

経路子会社のリモート接続用VPN機器の脆弱性が悪用され、ネットワークに侵入された。

影響トヨタ自動車の国内全14工場(28ライン)が1日停止し、約13000台の生産に影響が及び、損失は数十億円規模と推計。

▼三菱電機(2020年) 保守運用業者からの侵入】         

経緯中国にある現地の保守運用会社のアカウントが乗っ取られた。

経路信頼関係にある外部業者の正規アカウントを使い、社内ネットワークへ侵入され。

影響防衛関連や電力・鉄道などの社会インフラに関する機密情報が流出した可能性があると発表された。

▼大手重工業メーカー(2024年)    委託先からの情報流出          

経緯:業務を委託していたパートナー企業がランサムウェア攻撃を受けました。

経路自社のセキュリティ対策はしていたが、業務データを共有していた外部委託先が感染。

影響委託先に預けていた従業員の個人情報や、一部の業務関連資料が流出。

大手住宅設備メーカー(2023年)  海外拠点を踏み台に                                  

経緯アジアにある海外拠点のサーバーがサイバー攻撃を受けた。

経路セキュリティ管理が国内拠点より甘かった海外拠点のネットワークを踏み台にして、日本の本社のシステムへ侵入が拡大した。

影響国内外で生産・出荷システムに障害が発生し、トイレやシステムキッチンなどの納期が大幅に遅延した。

 

●サイバー攻撃に対する主な対策                           

サイバー攻撃への対策は、「技術的対策」と「人的対策」を組み合わせることが重要です。攻撃手法は日々巧妙化しているため、一つの対策だけに依存せず、複数の防御を重ねる「多層防御」の考え方が求められます。

技術的な対策                        

OSやソフトウェアの最新化 ② ウィルス対策ソフトの導入 ③ 多要素認証の活用

人的な対策                          

① 従業員教育の実施

組織内でセキュリティポリシーを策定し、最新の攻撃事例や対策を周知徹底する。

▼取引先のセキュリティ状態の確認                            

取引先のサイバー攻撃に対する対応を確認する。※SCS評価の提出等

SCS(サプライチェーンセキュリティ)評価制度の活用              

SCS制度を活用することで、自社のセキュリティ対策状況を可視化し、改善につなげることが可能です。

 

●SCS(サプライチェーンセキュリティ)評価制度とは?                 

経済産業省が2027年3月から本格運用を予定している、企業のセキュリティ対策レベルを客観的に可視化・評価する制度です。サプライチェーン全体のサイバーレジリエンス(対応力・復旧力)向上を目的としており、IPA(情報処理推進機構)が運用を担います。

▼主なポイント                                 

セキュリティ対策の実施状況に応じて、星★1〜★5などで評価される仕組みが想定されています。

専門機関などの第三者によるレビューを通じて自社の自己評価だけでなく客観的なセキュリティ対策が可能。

▼評価のレベル                                 

・星★12IPAが推進する自己宣言などの下位レベル。

・星★35:専門家や評価機関による客観的な評価が必要となる上位レベル。

▼中小企業(下請け、パートナー企業)への影響                  

今後、大手の親企業(発注元)が「SCS評価で★2以上を取得していること」を取引の条件に掲げるケースが増えると予想され、対応が遅れると、新規案件の獲得が難しくなったり、既存の取引から外されたりするリスクが考えられます。

※SCS評価制度に関する問い合わせ先:IPAセキュリティセンター リスクマネジメント部 セキュリティ制度グループ 【メール】isec-scs@ipa.go.jp