「セキュリティ対策をしていますか?」
この質問が、取引先や元請け企業から突きつけられる時代がすぐそこまで来ています。
経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の開始が、2026年度末頃に予定されています。制度案では企業のセキュリティ対策を★3〜★5の3段階で評価し「見える化」する仕組みが示されており、2026年度末に開始が想定されているのは★3と★4です(★5は令和8年度以降に基準・評価スキームを具体化予定)。
これは大企業だけの話ではありません。経産省は中小企業向けに「サイバーセキュリティお助け隊サービス」の新類型創設も進めており、中小企業への波及を前提に制度設計されています。
セキュリティ対策が「取引条件」になる流れ
すでに自動車業界や防衛産業では、取引先にセキュリティ基準を求める動きが一般化しています。経産省の制度構築方針案でも、発注者が取引先に一定の対策実施を要請し、それを取引条件とする場合の独禁法・下請法との関係整理が示されています。今回の評価制度により、取引条件化の流れはさらに広がると見られます。
Gartner日本法人も2026年1月に発表した「日本におけるセキュリティの重要論点」で、サードパーティ/サプライチェーンを新たなリスクとして明記しています(出典:Gartner, 2026年日本におけるセキュリティの重要論点)。
つまり、「セキュリティ対策をしていない会社とは取引しにくい」という判断が、合理的なビジネス判断として広がっていく流れにあるということです。
IPA「情報セキュリティ10大脅威 2026」が示す現実
独立行政法人IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2026」の組織編ランキングを見ると、中小企業が置かれている状況の深刻さがわかります。
| 順位 | 脅威 | 注目ポイント |
|---|---|---|
| 1位 | ランサムウェア攻撃による被害 | 11年連続1位。中小企業の被害が過去最多 |
| 2位 | サプライチェーンや委託先を狙った攻撃 | 8年連続。大企業経由ではなく中小企業が入口に |
| 3位 | AIの利用をめぐるサイバーリスク | 2026年初選出。ディープフェイク詐欺、AI生成フィッシング |
| 4位 | システムの脆弱性を悪用した攻撃 | OS・CMS・プラグイン等の脆弱性が狙われる |
| 10位 | ビジネスメール詐欺(BEC) | 9年連続。巧妙化が進む |
特に注目すべきは3位の「AIサイバーリスク」の初選出です。AIを使ったフィッシングメールは、従来の「怪しい日本語」ではなく、完璧なビジネス文体で送られてくるため、見分けることが格段に難しくなっています。JASAの2026年トレンド解説でも、AIの悪用によるフィッシング、マルウェア開発、ディープフェイクなりすまし等が具体例として挙げられています。
また、帝国データバンクの2025年調査によると、過去にサイバー攻撃を受けたことがある企業は全体で37.8%、中小企業では35.4%に上ります。「うちみたいな小さい会社は狙われない」という認識は、もう通用しません。
★評価で重要になる観点
SCS評価制度では、経産省の制度構築方針案に基づき、以下のような観点が重要論点になる見込みです。
- 脆弱性管理:OS・ソフトウェア・CMSのアップデートが適切に行われているか
- アクセス制御:多要素認証の導入、権限の最小化ができているか
- インシデント対応:攻撃を受けた際の対応手順・連絡体制があるか
- 従業員教育:フィッシング訓練やセキュリティ研修を実施しているか
- バックアップと復旧:定期バックアップと復旧テストを行っているか
弊社がこれまで2,000サイト以上のセキュリティ対応を行ってきた経験から言えば、中小企業の多くは1〜2項目しか満たせていないのが現状です。しかし裏を返せば、今から対策を始めれば十分間に合います。
今日からできる3つの第一歩
制度開始は2026年度末頃の見込みです。難しいことをする必要はありません。まずはこの3つから始めてください。
1. 自社サイトのセキュリティ状態を知る
弊社が提供しているWordPress無料セキュリティ診断では、URLを入力するだけで7つの観点からセキュリティをチェックできます。まずは現状を把握することが第一歩です。
2. 全アカウントの多要素認証をONにする
メール、チャットツール、クラウドサービス。すべてのアカウントで多要素認証(MFA)を有効にしてください。Microsoftの報告によると、MFAを有効にするだけで不正アクセスの99.9%以上をブロックできるとされています。費用はゼロ、設定は5分です。
3.「セキュリティ担当」を1人決める
専任でなくて構いません。「何かあったときに最初に動く人」を決めておくだけで、対応速度が劇的に変わります。社内にリソースがなければ、外部のセキュリティ顧問を活用するのも有効な選択肢です。
まとめ──「うちは大丈夫」が一番危ない
サイバー攻撃の被害に遭った企業の経営者が口を揃えて言うのは、「まさかウチが狙われるとは思わなかった」という言葉です。
SCS評価制度の開始は、中小企業にとって「脅威」ではなく「チャンス」です。いち早く対策を整えれば、取引先からの信頼獲得という形で経営にプラスに働きます。
制度が始まってから慌てるのではなく、今のうちから一歩ずつ準備を進めましょう。
参考資料
- 経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)構築に向けたWG
- IPA 情報セキュリティ10大脅威 2026(独立行政法人 情報処理推進機構)
- Gartner 2026年日本におけるセキュリティの重要論点
- 帝国データバンク サイバー攻撃に関する企業の実態調査(2025年)
- セキュリティ対策が取引の条件に? 企業が今から備えるべき「脆弱性管理」(三菱電機デジタルイノベーション)
