サプライチェーン上の弱点を狙ったサイバー攻撃が頻発していることから、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」を2026年度末に開始する。評価結果は新規取引先の選定や既存取引の見直しなどの判断材料となり、企業は自社の対策状況を把握し改善につなげられる。
ランサムウェア攻撃が大きな被害をもたらした2025年
2025年は、アサヒグループホールディングスやアスクルのような大手有名企業がランサムウェア(身代金ウイルス)攻撃の被害に遭い、事業停止が長期化する事態となった。ビールが店頭から消えて、事務用品や生活雑貨のネット注文ができなくなって、改めてセキュリティ対策の重要性を感じさせられたのではないか。
警察庁によると、2025年上半期におけるランサムウェアの被害報告件数は116件に上り、被害企業は大企業35件、中小企業77件、業種では製造業が52件と最も多い。
生産や出荷など幅広い業務でデジタル化が進んでいる中で、サプライチェーン全体でのセキュリティ強化が、業種を問わず最重要の経営課題となってきている。
ランサムウェアの被害企業・団体等の規模別/業種別内訳(2025年上半期)
出典:警視庁ウェブサイト
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/ransomware_threat.html
2026年度末スタートの経済産業省「セキュリティ対策評価制度」
経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」は、セキュリティ対策を可視化する仕組みで、サプライチェーン全体でのセキュリティ対策水準の向上を目的とする。具体的には、2社間の取引契約等において、発注元企業が、委託先企業側に適切な段階(★)を提示し、示された対策を促すとともに実施状況を確認することを想定している。
★3は一般的なサイバー攻撃に対して最低限実装すべき対策レベル、★4は内外に大きな影響をもたらす攻撃に対して標準的に目指すべき対策レベルで、どちらも2026年度末の制度開始を目指している。★5は未知の攻撃も含めた高度なサイバー攻撃に対して到達点として目指すべき対策として、2026年度以降、対策基準や評価スキームの具体化の検討を進めていく。★1・★2はIPA「SECURITY ACTION」による情報セキュリティ対策の自己宣言になる。
段階別評価の概要
出典:経済産業省ウェブサイト
https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html
複数の取引先からさまざまな対策を要求されている委託先企業にとっては、「セキュリティ対策評価制度」によって、限られたリソースの中で自社に本当に必要なセキュリティ対策を決定できるようになることが期待される。
page2026セミナー「2026年の“セキュリティ格付け”が始まる前に」では、「セキュリティ対策評価制度」の要点を整理した上で、中小印刷会社がどのような準備を進めるべきかを解説する。限られたリソースでも現実的に回せる進め方とは何か。顧客の信頼を勝ち取るためにも早めの準備を進めてほしい。
(JAGAT 研究・教育部 吉村マチ子)
★page2026オンラインカンファレンス・セミナー
2月5日(木) 16:30~18:00
【S3】2026年の“セキュリティ格付け”が始まる前に ~印刷会社がいまやるべき対策