中小企業のサイバー攻撃における取引先への影響は約７割！

「サイバードミノ」を防ぎ、取引先の信頼を得るセキュリティ対策が急務です

サイバー攻撃による、取引先への影響の具体的な内容

サイバーセキュリティの不備が、取引先にも深刻な影響を及ぼし、事業の継続性を脅かす可能性があります。
（出典：IPA「2024年度中小企業等実態調査結果」速報版）

しかし、過去３期における情報セキュリティ対策投資を行っていない中小企業は約６割

実際に起きた取引先への被害事例「大阪の大規模医療機関で発生したランサムウェア事件」

中小企業が踏み台にされたサイバー攻撃の事例。自社は小さいから関係ないという考えが通用しないことがわかります。
(出典：デジタルクロス「病院に逸失利益が数十億円規模の影響与えたランサムウェア攻撃の実際と対応策」2024年4月24日の記事をもとに要約・再編成)

被害内容	院内にある約2300台のサーバー/端末のうち約1300台が感染。その後、20台程度のサーバーでランサムウェアによる感染を確認。1次2次バックアップも感染。すべての業務復旧には73日間を要した。調査・復旧にかかった費用は数億円以上。
原因	直接的な要因は、給食事業者がVPN機器の脆弱性を放置したこと。さらに、接続しているWindowsOSのセキュリティが初期設定のままだったことや、アカウントロックなどの初歩的なセキュリティが未対応だったことも二次的な要因と考えられる。

セキュリティ対策＝取引先からの信頼を守ること

経済産業省のセキュリティ対策評価制度が2026年度から開始されます

今から対策を始めて、制度開始に対応できるようにしましょう！

セキュリティ対策評価制度とは

サプライチェーン全体の企業を対象とし、取引先企業のセキュリティ対策状況を客観的に評価・比較できる仕組みを作るための制度。経済産業省が2026年度からの運用を目指して検討・調整しています。

評価制度の仕組みについて

企業のセキュリティ対策状況を独自の基準に基づいて評価し、★などの評価レベルとして可視化する仕組みが検討されています。★の数が多いほどセキュリティ対策の成熟度・対策レベルが高いことを示します。
現時点の「中間とりまとめ」で検討されている評価レベルは★３～★５です。(※★１～★２は別制度SECURITY ACTIONと位置付けられています。)

★３～★５の評価基準

★３：すべてのサプライチェーン企業が最低限実装すべきセキュリティ対策(専門家確認付き自己評価)
★４：サプライチェーン企業等が標準的に目指すべきセキュリティ対策(第三者評価)
★５：サプライチェーン企業等が到達点として目指すべき対策(第三者評価)

出典：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間とりまとめ(概要)」
制度の詳細については、こちらをご覧ください。