採用情報 お問い合わせ

BLOG

情報セキュリティ BLOG

情報セキュリティ BLOG

2026 年 07 月 14 日

2026 年度末開始予定の「SCS 評価制度」対象事業者に求められる対策とは?【後編】

~ 4 つのサプライチェーン攻撃の実例に学ぶ、教訓と「SCS 評価制度」との関係 ~

前編【制度策定の背景と概要解説】はこちら

中編【評価領域の概要と対策解説】はこちら

サプライチェーン攻撃の具体的な事例

SCS 評価制度が策定された背景を具体的に理解するために、実際に発生した主なサプライチェーン攻撃の事例を紹介します。これらの事例は、サプライチェーンを構成するすべての企業がセキュリティ対策を講じることの重要性を如実に示しています。

事例①:大手自動車メーカー(2022 年 2 月)

2022 年 2 月 26 日〜27 日にかけて、自動車メーカーの 1 次サプライヤー(Tier1)である製造企業がランサムウェア攻撃を受けました。攻撃者は 1 次サプライヤーの子会社が使用していたリモート接続機器の脆弱性を悪用して侵入し、本社ネットワークに侵入後、受発注システムを暗号化しました。その結果、2022 年 2 月 28 日に自動車メーカーは国内全 14 工場 28 ラインの稼働を停止。約 1 万 3 千台分の生産に影響が出ました。

項目 内容
発生時期 2022 年 2 月 26〜28 日
直接被害企業 自動車メーカーの Tier1 サプライヤー
波及被害 自動車メーカーの 国内全 14 工場 28 ライン停止、約 1 万 3 千台の生産影響
攻撃手法 ランサムウェア(子会社のリモート接続機器の脆弱性を悪用)
推定損失 数十億円規模(報道推計)
復旧期間 約 1 ヶ月
この事例の教訓と SCS 評価制度との関係
  • 子会社のリモートアクセス機器の脆弱性管理(★3 の防御要件)
  • Tier2 以降を含むサプライチェーン全体の取引先管理(★4 の取引先管理要件)
  • 子会社と本社のネットワーク分離(★3 の防御要件)
  • 週末・休日でも異常を検知できる監視体制の構築(★4 の検知要件)

【事例②:大手 IT 企業(2023 年 11 月)】

2023 年 11 月、大手 IT 企業がサプライチェーン攻撃による不正アクセスを受け、ユーザー情報や取引先情報を含む約 44 万件の個人情報が漏洩しました。攻撃の発端は、同社と技術協力関係にあった企業の子会社コンピューターがマルウェアに感染したことでした。攻撃者は比較的セキュリティ対策が脆弱な取引先ネットワークを踏み台にし、技術協力企業のシステムへ侵入後、システムを一部共通化していた大手 IT 企業のサーバーにも不正アクセスが拡大しました。
初回の不正アクセスから一定期間が経過した後に異常が検知されており、攻撃者が取引先の正規アカウントを悪用して内部システムに長期間潜伏していた可能性が指摘されています。この事例は、技術協力関係にある企業も含めたサプライチェーン全体でのセキュリティ管理の重要性を示しています。

この事例の教訓と SCS 評価制度との関係
  • 技術協力企業を含む取引先のセキュリティ対策状況の定期的な確認(★4 の取引先管理要件)
  • 不正アクセスを早期に検知する仕組みの強化(★4 の検知要件)
  • 委託先への個人情報アクセス権限の適切な管理(★3・★4 の防御・識別要件)

【事例③:高度専門医療センター(2022 年 10 月)】

2022 年 10 月 31 日、地域中核の高度専門の医療機関がランサムウェア攻撃を受け、電子カルテシステムが停止しました。攻撃の入口となったのは、給食提供を委託していた業者が使用していた VPN 機器の脆弱性でした。医療機関は患者の命に関わる重要インフラであるにもかかわらず、サプライチェーン(委託先)のセキュリティの穴を突かれる形で甚大な被害を受けました。
電子カルテが使えない状態が約 2 ヶ月間続き、救急患者の受け入れ制限を余儀なくされるなど、患者への深刻な影響が生じました。このケースは、医療機関のような重要インフラでも、業務委託先のセキュリティ管理が自組織の安全性に直結することを示す象徴的な事例です。

この事例の教訓と SCS 評価制度との関係
  • 給食委託業者の VPN 機器の脆弱性管理(★3 の防御要件)
  • 委託先との契約でのセキュリティ要件明記(★3 の取引先管理要件)
  • 電子カルテシステムのバックアップと事業継続計画(★3 の復旧要件)

【事例④:大手飲料メーカー(2025 年 9 月)】

2025 年 9 月、大手飲料メーカーがランサムウェア「Qilin」による大規模攻撃を受けました。攻撃者はデータセンターへのアクセス認証情報を盗み、グループのネットワークへ不正侵入後、ネットワーク内を移動しながら管理者権限を奪取。国内工場の稼働停止、主力商品の出荷制限が発生し、従業員・取引先など 150 万件を超えるデータに影響が及びました。
製造と物流が密接に連携するサプライチェーンの弱点が突かれた本事例は、製造ラインだけでなく受発注や物流システムの停止が事業全体を麻痺させるリスクを浮き彫りにしました。

この事例の教訓と SCS 評価制度との関係
  • 認証情報管理の強化と多要素認証の導入(★3 の防御要件)
  • ネットワーク内の横断移動(ラテラルムーブメント)の検知(★4 の検知要件)
  • 製造・物流システムを含む事業継続計画(BCP)の整備(★3・★4 の復旧要件)
  • 管理者権限の最小化・特権アカウント管理(★4 の防御要件)

中小企業への支援策

SCS 評価制度の取得は中小企業にとって負担が大きくなる可能性があるため、経済産業省と IPA は以下の支援策を講じています。

サイバーセキュリティお助け隊サービス(新類型)

中小企業が SCS 評価制度の★3 および★4 を安価かつ簡便に取得できるよう、「サイバーセキュリティお助け隊サービス」の新類型を創設します。2026 年夏頃から制度設計のための実証事業を開始し、サービス提供事業者と連携して実際に中小企業向けにサービスを試行的に提供する予定です。

実証事業での品質・価格要件の検討

実証事業の活用状況や結果を踏まえ、中小企業にとって導入しやすいサービスであることを担保するための品質要件や価格要件について検討が行われます。専任のセキュリティ担当者がいない中小企業でも、外部のサービス事業者を活用することで SCS 評価制度への対応が可能となる見通しです。

セキュリティ専門家制度

★3 の取得に必要なセキュリティ専門家(情報処理安全確保支援士等の資格を保有し、所定の研修を受講した者)については、IPA が研修事業者を指定し、2026 年 12 月末頃より公表予定です。これにより、中小企業でも信頼できる専門家のサポートを受けながら制度を活用できる環境が整備されます。

まとめ

SCS 評価制度は、深刻化するサプライチェーン攻撃に対応するために、日本のビジネス全体のセキュリティレベルを底上げすることを目的とした画期的な制度です。国が定めた共通基準による「★(星)」の評価・可視化により、委託元・委託先双方の負担軽減と、サプライチェーン全体のセキュリティ強化を同時に実現しようとしています。
大手自動車メーカー、大手 IT 企業、高度専門医療センター、大手飲料メーカーの被害など、サプライチェーンを経由したサイバー攻撃は業種・規模を問わず発生しており、一企業の問題にとどまらず、サプライチェーン全体に深刻な影響を及ぼしています。
大企業はもちろん、取引先として関わるすべての中小企業も、SCS 評価制度への対応を通じてセキュリティ対策を強化することが、今後のビジネスにおいて重要な競争力となります。★3・★4 の申請受付は 2026 年度末頃を予定しており、今から準備を始めることが重要です。

今すぐできること
  1. IT 資産台帳の整備:社内の PC・サーバー・ネットワーク機器・クラウドサービスの一覧化
  2. 重要な情報を渡している委託先・外注先のリスト作成
  3. VPN 機器・リモートアクセス機器の脆弱性確認と多要素認証の導入
  4. バックアップの取得と復旧テストの実施
  5. SCS 評価制度特設サイトで最新情報を確認

サイバートラストが提供する対策ソリューション

解説しましたように SCS 評価制度の要求事項は、NIST CSF をベースに構成されています。サイバートラストでは、「統治(Govern)」「識別(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」のそれぞれのレベルに対応可能なソリューションを提供しています。

SCS 評価制度に対応可能な具体的なソリューションについては、「SCS 評価制度対策ガイド」をご参照ください。

SCS評価制度対策ガイド 資料ダウンロード

SCS 評価制度対策ガイド 資料ダウンロード

法人名 必須
お名前 必須
メールアドレス 必須 ※入力間違いにご注意ください。

本記事に関連するリンク

この記事の著者
 著者近影:田上 利博
田上 利博

サイバートラスト フィールドマーケティング部 担当部長。25 年以上にわたりセキュリティベンダーで営業、プロダクトマーケティングに携わり、サイバーセキュリティやデジタル改革に関連する法制度、DX 推進などに関する講演・記事執筆を多数行う。また、サイバーセキュリティや DX、トラストサービスなどに関わるさまざまな業界団体での活動も兼任。2025 年 12 月、日本サイバーセキュリティ産業振興コミュニティ(NCPC)運営委員に就任。

はじめての脆弱性診断をお考えの方へ 脆弱性診断の必要性とは?種類と内容、選び方を解説