経済産業省がかねて実施するとしてきた「サプライチェーン強化に向けたセキュリティ対策評価制度」が、いよいよその姿を現してきた。2026年3月10日、1年後(2027年1~3月)までに想定される同制度のスタートを見据え、NTT西日本 東海支店が「サイバー攻撃の脅威と経産省サプライチェーンセキュリティ対策評価制度のポイント」と題したセミナーを開催した。リアルとオンラインのハイブリッドで開催されたこのセミナーでは、サイバー攻撃の最新動向と同制度の概要、企業が取り組むべきポイントが紹介された。その模様をダイジェストでお届けする。

進化するサイバー犯罪の傾向

本セミナーは第1部の講演、第2部のトークセッション、第3部の企業相談会という3本立てで実施。冒頭、NTT西日本 執行役員 東海支店長の児玉美奈子氏が挨拶に立ち、「2026年度中には経産省の評価制度が実施されるということで、本日、現状と対策を学び、実務に活かしていただきたいと考えています」と語った。

  • NTT西日本執行役員 東海支店長の児玉美奈子氏

    NTT西日本執行役員 東海支店長の児玉美奈子氏

第1部は愛知県警察本部の青山義弘氏が登壇。「サイバー犯罪の現状と対策」のタイトルで講演を行った。青山氏は2025年4月からサイバー局長としてサイバー犯罪捜査の指揮や対策、セキュリティ人材育成を牽引する立場だ。

青山氏はまず「愛知県内でも近年、年間20件程度のランサムウェア被害が確認されており、けっして他人事ではありません」と指摘。県内でのサイバー犯罪被害の相談件数が近年は2019年と比べほぼ倍増していると報告し、相談内容はメールに従い個人情報を入力してしまったフィッシング詐欺とショッピングサイトで買い物をしたが商品が届かない通販詐欺が全体の約8割を占め、アカウント情報が盗まれ乗っ取られる被害も増えていると解説した。また、インターネットバンキングによる不正送金被害も2023年から件数・被害額ともに急増した状況を示した。

「不正送金被害の多くはフィッシングが端緒となっています」と青山氏。メール内のURLリンクから不正サイトに誘導し個人情報を入力させる手口を改めて説明し、フィッシングの報告件数も2024年までの6年で約31倍に増えたという衝撃的なデータを紹介したうえで、「メール内のURLはすべて偽サイトに誘導されると考えること、パスワードは使い回さないことに留意してください。また、被害が増えているボイスフィッシング対策として、電話で個人情報を尋ねられた場合は正しい電話番号に改めてかけ直すことが効果的です」と語った。加えて、電話でPC操作を指示するサポート詐欺についても実際の音声と画面を表示しながら解説し、「サポート詐欺の警告画面になった際はブラウザを閉じ、PCを再起動あるいは強制終了することで解消できます」と注意を促した。

  • 愛知県警察本部 生活安全部 サイバー局長の青山義弘氏

    愛知県警察本部 生活安全部 サイバー局長の青山義弘氏

ランサムウェア&BEC対策の要点

さらに、企業を狙うBEC(ビジネスメール詐欺)とランサムウェアに話を進めた青山氏。実在の取引先や自社経営者になりすまして偽メールなどを送信するBECの手口に触れ、「振込先変更等の重要連絡は必ず相手に電話で直接確認してください。また、普段と異なるメールはアドレスや本文をよく確認し、社内で情報共有して相談するようにしてください。さらに、単純なパスワードは容易に破られるので、可能な限り長く複雑にし、多要素認証も導入して万全にしてください」と対策の要点を示した。

そしてランサムウェアについては、被害に遭うと業務が停止し復旧までに莫大な資金と時間がかかることを説明。被害を防ぐ対策として、「メールの添付ファイルやメール内URLを不用意に開くことは避ける」「OS・ソフトのバージョンアップや脆弱性対策をしっかり行う」「ウイルス対策ソフトを導入する」「認証情報を適切に管理する」の4点を挙げた。

感染後の被害を最小限にする対策としては、まずデータのバックアップが不可欠としたうえで「バックアップデータをネットワークと切り離された場所にも保存し、ランサムウェアで暗号化されないようにしてください」と留意を促した。それに加えてアクセス権の最小化や、ネットワーク監視による不審な挙動の早期発見も重要だとした。さらには感染してしまった場合の初動対応として、LANを切断する、感染端末のメモリ内を解析し事後の捜査にも役立てるため電源を切らない、感染端末の画面に表示された脅迫文を写真撮影する、といった点を指摘した。

最後に愛知県警の取り組みとして、中小事業者に捜査員が訪問し聞き取り調査や事例・支援制度解説などを行うサイバー防犯診断を実施していることを紹介し、講演を終了した。

新制度の意義と押さえておきたいポイント

第2部は、トレンドマイクロの福田俊介氏とNTT西日本の森本信次氏によるセッションだ。福田氏は現在、法人組織向けエバンジェリストとして最新の脅威動向やセキュリティ戦略を発信。森本氏は中小企業向けITサービスの企画・販売推進を担当している。

  • トレンドマイクロ 執行役員 TrendAIマーケティング本部長 スレット&プロダクトマーケティング部長 エバンジェリストの福田俊介氏

    トレンドマイクロ 執行役員 TrendAIマーケティング本部長 スレット&プロダクトマーケティング部長 エバンジェリストの福田俊介氏

福田氏も、まずは昨今のランサムウェアに関する情報の整理から始めた。2025年に日本の大手2社が甚大な被害を出した事例を引き合いに、両社を攻撃したランサムウェアグループ「Qlin(キリン)」と「RansomHouse」を挙げた。さらに福田氏は、被害の約6割を中小企業が占めるというデータを提示。中小企業との付き合いが多い森本氏は「3分の2が中小企業というのは驚くべき数字ですが、とはいえ中小企業はどうしてもセキュリティ対策が後回しになりがちですね」と応じた。

  • NTT西日本 スマートビジネス営業部 担当部長の森本信次氏

    NTT西日本 スマートビジネス営業部 担当部長の森本信次氏

これに対して福田氏は、中小企業が狙われる理由を2つ挙げた。

「1点目は、大企業と比べてセキュリティにかけられるリソースが少ないため、脆弱性が存在する可能性が高く、攻撃者もそこを攻めるということ。2点目は、防御が堅牢な大企業を狙うより、サプライチェーンにつながる中小企業を攻撃し、そこから大企業へ展開していくほうが容易だということです。いわゆるサプライチェーン攻撃ですが、2025年に報道されたインシデントのアタックサーフェス(攻撃対象領域)で、最多は自社でなく他組織であったことを見ても、サプライチェーンリスクが顕在化していることは明らかです」(福田氏)

そのうえで、経産省が評価制度を検討している背景としてもう一つの事情を披露した。

「サプライチェーンで取引先の対策状況をチェックしようにも、他社からは判断しづらいのが事実。そこで発注側は独自のチェックリストを作りますが、これを満たしたからといって安全といえるかは難しく、また受注側から見ると発注社ごとに異なる要件が提示されたら対応負荷が高まり大変です。であれば共通言語となるフォーマットを作れば、発注側も受注側も対応しやすいのではないか。そうした考えが前提にあります」(福田氏)

続いて福田氏は、検討されている制度の概要を解説。同制度はサプライチェーンを構成する企業のセキュリティ対策を共通の指標・基準で可視化するものだとして、★1~★5の5段階評価を導入し、その中で★3~★5が今回の制度で設定されると説明した。

★3は「最低限実装すべきセキュリティ」で評価項目は26(取りまとめ段階)、★4が「標準的に目指すべきセキュリティ」で項目は44(同)に増える。★3が一般的なサイバー攻撃への対処であるのに対し、★4はより包括的に、サプライチェーンに多大な影響をもたらす攻撃への対応まで視野に入れたものだと福田氏。さらに★5は、項目数は今後検討されるとして、「これは“理想のセキュリティ”と位置づけられます」と語った。

つまり現段階で考えるべきは★3と★4ということになる。★3の評価方法は「専門家の確認を条件に自己宣言」、★4は「第三者評価」を要件にするというのが現段階での立て付け。また、企業を格付けする制度ではなく、あくまでも対策レベルに関する共通言語であり、★の数で直接的に評価されるものではないとした。

  • トークセッションの様子

    トークセッションの様子

“1年後”に向け行っておくべき具体的取り組み

ここまでの説明を受け、森本氏は「★3は最低限実装すべきとされていますが、とはいえ中小企業にとってはハードルが高い」と意見を呈した。そこで福田氏は、まずは自己宣言で取得できる★1、★2を目指すのがいいのではと提言。森本氏は、情報処理推進機構(IPA)による「中小企業の情報セキュリティ対策ガイドライン」を参考に対策を実践することで★1、★2を取得できるとし、同ガイドラインの内容を解説した。

「第1部は経営者が認識すべき原則と取り組まなければならない重要項目を示し、第2部では実務担当者の具体的対策の進め方が書かれています。ガイドラインで最も大事な点は、セキュリティは経営リスクであり、経営者自らリーダーシップを発揮して取り組まなければならないということ。私はこれに尽きると思っています」(森本氏)

続いて森本氏は、実務担当者が取り組むうえで意識すべき「情報セキュリティ5か条」を紹介。これは「OSやソフトは常に最新の状態に」「ウイルス対策ソフトを導入」「パスワードを強化」「共有設定を見直す」「脅威や攻撃の手口を知る」の5つで、これらを満たせば★1を自己宣言できると説明した。さらに、経産省が出している情報セキュリティ自社診断リストに記された25の設問に答え、自社の情報セキュリティ方針(セキュリティポリシー)をホームページに掲示すれば、★2を自己宣言できると解説した。

  • トークセッションの様子2

森本氏は「セキュリティ対策はソフトや機器を入れればOKというわけではなく、ルールを決め、しっかり運用することこそが大事です」と強調。そのうえで、ウイルス対策ソフトの導入と最新状態への更新は最低限必須としながら、最近はウイルス対策ソフトが入っていてもすり抜けるマルウェアが多いとし、EDRの必要性に言及した。ただEDRの運用にはスキルと知識が必要となるため、運用は専門業者に頼るのも一案だとしてNTT西日本の「セキュリティおまかせプラン」を紹介。さらに、OS・ソフトを常に最新状態に保つIT資産管理などを担い、担当者の負荷を軽減する「情シスおまかせコンシェルジュ」というサービスも紹介して、セッションを締めた。

この後、NTT西日本の担当者が取材に対応。本セミナーをこのタイミングで開催した理由について次のように語った。

「評価制度が理解しづらい、自社にどう置き換えればいいかわからないといった不安の声が中小企業から多く出たため、制度開始予定の新年度を前に概要を伝える機会を設けることにしました。まずは現状を理解して自社の対策状況を判断し、自社だけで対応が難しい場合は当社にご相談ください」

  • NTT西日本 ビジネス営業部 ビジネス推進部門 営業推進担当 担当課長の成瀬友麻氏

    取材を受けるNTT西日本 ビジネス営業部 ビジネス推進部門 営業推進担当 担当課長の成瀬友麻氏