【10大脅威組織編】サプライチェーン攻撃に対抗する新制度とは【第2位】

IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10 大脅威 2026(組織編)」によると、第2位は昨年同様「サプライチェーンや委託先を狙った攻撃」 でした。

情報セキュリティ10大脅威2026」解説書[組織編]

今年の情報セキュリティ10 大脅威 2026解説書(組織編)では、サプライチェーン攻撃の手口は、3つとされています。

  • 標的組織の関連会社や業務委託先を攻撃する
  • ソフトウェア開発元のソフトウェアにマルウェアを仕込み、利用者の機器をマルウェアに感染させる
  • MSP(マネージドサービスプロバイダー)が利用する資産管理ソフトウェア等にマルウェアを仕込む

引用:「情報セキュリティ10大脅威 2026」組織編」解説書

攻撃者は、サプライチェーン上でセキュリティが脆弱なポイントを攻撃の足がかりとして狙います。それは、中小企業・小規模事業者を含む取引先・委託先、子会社や関連企業、利用中のサービスプロバイダーやハードウェア・ソフトウェアなど、多岐にわたります。また、企業にとっては、自組織のサプライチェーン上で脆弱な部分を経由して攻撃を受ける可能性の他に、知らず知らずのうちに自組織が侵入経路となり、意図せず”本命”企業への攻撃に加担してしまう可能性があるため、自組織の対策のみならず、取引先や委託先を含めたセキュリティ対策が必要となります。

2025年には、ランサムウェアの被害増加と同時に、取引先に影響を与えるようなサイバー攻撃が頻発しており、サプライチェーン全体でのサイバーセキュリティ対策の強化が求められています。こうした深刻な攻撃に対処するために経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))のパブリックコメントを実施しました。この制度により、取引先のセキュリティ対策状況の評価制度を構築し、サプライチェーン全体のセキュリティ水準の底上げを図る方針で、本制度は2026年度末頃の制度開始を目指しています。

「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました(2026年3月27日)

政府は評価制度の構築により、取引先のセキュリティ対策状況を客観的に評価することが困難であるという発注元企業の課題や、複数の取引先から様々な対策を要求されるといった委託先企業の課題の解決を図る方針です。特に限られたリソースの中で自社のリスクを踏まえてセキュリティ対策を行うことが難しい中小企業には容易かつ適切に必要なセキュリティ対策を決定できるようになることが期待されます。

「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました(2026年3月27日)より評価制度の概要を示します。

こちらは取引する2社間の信頼性を担保する任意の制度です。経済産業省が注意喚起しているように特定のセキュリティ対策を導入させるためのものではありませんのでご注意ください。

サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)に係る不適切な勧誘に御注意ください

また情報は、制度のスキームオーナーである独立行政法人情報処理推進機構(IPA)が詳細を構築される見込みです。公式ページは以下の通りとなります。

サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)

サプライチェーンや委託先を狙った攻撃の増加により、どんな企業であってもサイバーセキュリティ対策に無関心ではいられなくなりました。セキュリティ対策評価制度の枠組みを利用して自社のセキュリティ体制を評価し、自組織の対策を見直しましょう。

2026-07-10

関連記事 Related Post

FFRIセキュリティ SNS

FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。

FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。

HOME  ≫ FFRIセキュリティ BLOG  ≫ 2026年  ≫ 2026年7月  ≫ 【10大脅威組織編】サプライチェーン攻撃に対抗する新制度とは【第2位】

pagetop