大手企業との取引がある中小企業の経営者のみなさん、こんな不安を感じたことはありませんか。
「うちは大きな企業じゃないから、サイバー攻撃のターゲットにはならないはず」——そう思っていた会社が、取引先の大手企業を攻撃するための”踏み台”として狙われ、情報漏えいを起こした事例が増えています。
この記事では、「サプライチェーン攻撃」の仕組みと、従業員30名以下の中小企業でもすぐに実践できる対策を5ステップで解説します。
サプライチェーン攻撃とは?経営者向けに解説
サプライチェーン攻撃とは、大手企業を直接狙うのではなく、その取引先(下請け・委託先・仕入先)を経由して攻撃する手口です。大手企業のセキュリティは年々向上している一方、取引先の中小企業のセキュリティは手薄なままであることが多く、攻撃者は「弱いところから入る」という原則で動いています。
| 従来の攻撃 | サプライチェーン攻撃 |
|---|---|
| 大手企業を直接狙う | 取引先の中小企業を経由する |
| 高いセキュリティの壁を突破する必要がある | セキュリティが手薄な中小企業から侵入 |
| 攻撃が難しくなっている | 標的を絞りやすく、被害件数が増加中 |
なぜ中小企業が狙われるのか
IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2024」では、「サプライチェーンの弱点を悪用した攻撃」が組織部門で2年連続トップ3に入っています。
中小企業が狙われる理由は3つです。
・セキュリティ投資が少ない: 専任のIT担当者を置けない企業が多く、パスワード管理が後回しになりがちです。
・大手企業との接点が多い: 発注書・図面・顧客情報など、価値の高いデータをやり取りしています。
・セキュリティ意識のばらつき: 社員教育が行き届いていない場合、フィッシングメールへの引っかかりやすさが高くなります。
自社のミスではなく、自社のシステムが踏み台になることで大手取引先に損害を与えてしまう——これがサプライチェーン攻撃の怖さです。
中小企業がすぐに始められる5つの対策
高価なシステムを導入する必要はありません。まずは「人・ルール・設定」の3点を見直すことから始めてください。
1. 取引先とのファイルやり取りルールを明文化する
「パスワード付きZIPファイル」での送受信は廃止を検討しましょう。現在推奨される方法は、Google DriveやSharePointなどのクラウドストレージを経由したリンク共有です。
・受け取らないファイル形式を決める: .exeなど実行ファイル形式はメール添付不可のルールを作ります。
・共有リンクの有効期限を設定する: 7日間・30日間など期限を切って、無期限の共有リンクを残さないようにします。
2. 取引先に提供しているアクセス権を棚卸しする
「以前のプロジェクトで発行したIDがそのまま有効になっている」というケースが意外と多いものです。取引先ごとのアクセス権を半年に1回、リストで確認しましょう。
・VPNアカウント: 取引が終了した会社のアカウントは即日削除しているか
・クラウドサービスの権限: Google Workspace・Microsoft 365の「外部ユーザー」タブで確認できます
・リモートデスクトップのアクセス許可: 不要になったアクセス元のIPアドレスは制限しているか
3. 多要素認証(MFA)を全アカウントに適用する
多要素認証(MFA)とは、パスワードに加えてスマートフォンへの通知や6桁のコードで本人確認を行う仕組みです。仮にパスワードが漏れても、MFAがあれば不正ログインを防げます。
社内の主要クラウドサービスにMFAを設定していても、「取引先用に発行した旧アカウント」には設定されていないことがあります。Microsoft 365であれば管理センターから一括で強制設定できます(月額費用の追加は不要)。
4. 定期的なセキュリティ教育を実施する
フィッシングメールは取引先を装ったものが増えています。「〇〇株式会社の田中です」という差出人のメールに不審なファイルが添付されているパターンが典型例です。
・IPA「中小企業の情報セキュリティ対策ガイドライン」: 無料でダウンロード可能。社内研修の教材として活用できます。
・外部セキュリティ教育サービス: 1人あたり月額500~2,000円程度の定額サービスが増えており、フィッシング訓練も含まれるものが多いです(執筆時点: 2026年5月)。
5. インシデント発生時の連絡フローを取引先と共有する
インシデントが発生した場合の「最初の30分」の行動を事前に決めておくことが重要です。
・連絡窓口: お互いの緊急連絡先(担当者の携帯番号を含む)
・初動の合言葉: 「インシデント発生」と共有を受けたら何をするか(ネットワーク遮断・ログ保全など)
・報告の範囲: 個人情報保護委員会への報告が必要になる条件(個人データが関わる場合は72時間以内の報告義務あり)
対策にかかるコストの目安
| 対策 | 費用の目安 | 備考 |
|---|---|---|
| MFA設定(Microsoft 365/Google Workspace) | 無料 | 既存ライセンスの範囲内で対応可能 |
| クラウドストレージによるファイル共有移行 | 0~2,000円/月 | Google Driveは15GBまで無料 |
| セキュリティ教育サービス | 500~2,000円/人/月 | 従業員10名で月5,000~20,000円の目安 |
| 外部セキュリティ診断(年1回) | 30,000~100,000円 | IPA認定のセキュリティサービスプロバイダーに依頼可能 |
IT導入補助金(2026年度)のセキュリティ対策推進枠では、セキュリティ関連ツールが補助対象になる場合があります。最新の公募要領は中小企業庁の公式サイトで確認してください(執筆時点: 2026年5月)。
よくある失敗と回避策
失敗1: 「大手取引先がしっかりしているから、うちは何もしなくていい」
攻撃の踏み台にされるのは自社です。取引先が守ってくれるわけではなく、自社のシステムが侵入経路になります。
失敗2: 「VPN接続を許可している取引先が多くて管理しきれない」
まず「現在アクティブな取引先かどうか」だけに絞ってリスト化してみましょう。30分の作業で現状が把握できます。
失敗3: 「セキュリティルールを作ったが、社員が守っていない」
ルールが守られない最大の原因は「面倒だから」です。パスワード付きZIPメールをやめてクラウド共有に切り替えるなど、「対策をしたほうが便利」な状態を作ると定着します。
本記事のまとめ
サプライチェーン攻撃は、大手企業との取引がある中小企業ならどこでも被害を受ける可能性があります。ただ、対策は難しくありません。
・ファイル共有のルール化(パスワード付きZIPメール廃止・クラウド共有への移行)
・取引先アクセス権の半年ごとの棚卸し
・全アカウントへのMFA適用
・セキュリティ教育の定期実施
・インシデント発生時の連絡フロー共有
まずは「取引先へのアクセス権棚卸し」から始めてみてください。30分の作業で現状が把握できます。
姉妹サイトセキュリティマスター.JPでは、中小企業のサイバーセキュリティ対策をさらに詳しく解説しています。
取引先経由のサイバー被害、自社は大丈夫ですか?
サプライチェーン攻撃の被害は、気づいた時には手遅れになるケースが少なくありません。
中小企業のDXを身近な業務改善から始めたい方へ、メルマガで実践的なDX推進ノウハウをお届けしています。
