サイバー攻撃は今や、ITの問題にとどまらず、事業停止に直結する経営やサプライチェーン全体の重大なリスクです。こうした中、2026年度末には新たな「セキュリティ対策評価制度」が始まる予定です。
本セミナーでは、事業停止リスクを避けるために、新制度がどのようなものか、昨今の脅威と照らし合わせながら、何を意識して準備を進めるべきかを解説します。
|
株式会社AppGuard ITインフラやプリセールスを経て、セキュリティエンジニアへ。現在は、現場と技術を知る視点からプロダクトマーケティングマネージャーとして従事し、最新の脅威情勢と製品価値を伝えている。 |
※本稿は、「食品ITフェア2026 オンライン」の収録時となる2026年3月27日以前の情報を基にしています。
本日は、サイバー攻撃による事業停止リスクをいかに回避するか、そして国が示したセキュリティ対策評価制度をどのように活用すべきかについてお話しします。
まず当社の紹介です。私たちは2017年に、米国政府機関向けに開発された技術「AppGuard」を取得し、日本で事業化しました。現在は、この技術を活用したサイバーセキュリティ製品を提供しています。
サイバー攻撃は、もはやIT部門だけの問題ではありません。いまや一企業のシステム停止が、市場全体に影響を及ぼす時代です。
2025年には象徴的な事例が相次ぎました。アサヒグループホールディングスではランサムウェア攻撃により、受発注・出荷システムが停止しました。その影響は一社にとどまらず、ビール業界全体の需給バランスにまで波及しています。
またアスクルでも同様に、基幹システムが停止し、サプライチェーン全体に影響が広がりました。たとえば、同社と連携する良品計画の通販事業にも支障が生じています。
このように、IT上の障害が現実のビジネスに直結する時代になっています。しかも標的は大企業だけではなく、中小企業やあらゆる業種に広がっています。
さらに被害額も深刻です。2022年7月〜2024年の統計では、ランサムウェア被害額の中央値は約3,800万円、平均は約6,000万円に達しています。
これらの事例で共通して注目されたのが「EDR」です。
EDR(Endpoint Detection and Response)は端末の挙動を監視し、不審な動きを検知・対応する仕組みですが、未知の脅威にも効果があるとして、企業などで導入されてきましたが、それによるセキュリティ対策が万全でないことが今回露呈しました。
アサヒグループホールディングスは「EDRを導入していたが、攻撃手法が巧妙かつ高度で検知できなかった」と説明し、アスクルは「EDR等の脆弱性対策ソフトを無効化された」「当時のEDRシグネチャでは検知が難しいランサムウェアだった」と記しています。
整理すると、
つまり現在の攻撃は、「見つからないように侵入する」だけでなく、「正規の動きに見せかける」方向へ進化しています。結果として、異常に気づいたときにはすでに手遅れ、という事態が起きているのです。
今のサイバー攻撃は、対策をしていても防御できません。攻撃側が圧倒的に優位な状況です。そして、そのサイバー攻撃は日々進化しているといことをぜひご認識ください。
この状況を踏まえると、サイバーセキュリティは単なるIT対策ではなく、事業継続の前提条件です。
現代のビジネスはデータの信頼の上に成り立っています。セキュリティはもはや「あればよいもの」ではなく、企業の信頼性・継続性・成長可能性を支える根幹そのものです。
セキュリティ対策がうまく機能しない原因は、個人の努力不足ではありません。問題は「仕組み」、特に運用にあります。
どれだけ優れたツールを導入しても、運用が伴わなければ効果は発揮されません。
たとえばEDRやXDRは、不審な挙動を検知し分析する仕組みですが、
といった課題があります。
また、バックアップの復元一つとっても、他システムとの整合性を考慮する必要があります。脆弱性対応も、見つけるだけでは意味がなく、迅速な対応が不可欠です。
アサヒグループホールディングスやアスクルの例など実際のインシデントを分析すると、以下のような運用上の課題が浮かび上がってきます。
なぜ、こういう課題が放置されたままの状況になってしまうのか。その背景には、
があります。
実は、重要なシステムほど業務優先で対策が遅れやすく、攻撃者はまさにそこを狙います。つまり、攻撃のリスクは「攻撃者の進化」だけでなく、「防御側の運用」によっても生まれているのです。
2026年3月、経済産業省および内閣官房国家サイバー統括室が「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)を公表しました(ただし、本講演は公表前のものであり、2025年12月末時点の情報をソースとしています)。
目的は主に二つです。
後者は、サイバー攻撃を受けた際の対処や復旧の仕組みづくりを意味します。
これは、格付け制度ではありません。立場に応じて必要な対策の実施状況を明確にするものであり、簡単に言えば「このシステムはサイバー攻撃から守ることができる」という状態を可視化するものです。
国は、まず取引先間の結びつきが強く複雑な業種での実施を促しており、一例として主要製造業や流通業、金融業などを挙げています。
SCS評価制度では、2社間の取引契約等において、委託元が委託先に適切な「段階」を示し、委託先は示された段階に合わせた対策を促すとともに、実施状況を確認することを想定しています。これまで、発注側がセキュリティ対策の整った企業を選びたくても、判断基準がありませんでした。また受注側も、どの程度の対策が必要なのか、不明瞭でした。今回、ガイドラインとして評価制度が策定されたことで、基準が明確になり、共通言語のようになって対策状況を確認しやすくなったのです。
この制度では、セキュリティの対策レベルを「★3」「★4」「★5」で示します。2026年度末には「★3」「★4」の運用が開始される予定です。
では、具体的に求められる対策はどのようなもののでしょうか。
(要求事項よりも細かな)評価基準の項目数は、★3で83項目、★4では141項目にのぼります(★5については今後決められる予定です)。内容は「ガバナンスの整備」「取引先管理」「リスクの特定」「攻撃の防御」「攻撃等の検知」「インシデントへの対応」「インシデントからの復旧」の7グループに分かれます。
この制度は「ゴール」ではなく、「対策の道しるべ」です。セキュリティ対策として「何を実施するべきか」と考えるときに、このSCS評価制度が参考になります。山登りをするときの地図やガイドのような存在です。
ただし、SCS評価制度に対応したからといって、安心してはなりません。対策を導入しても体制や運用が不十分では、現代のサイバー攻撃への効果は激減します。SCS評価制度はあくまでガイドラインであり、自社の事情に合わせて準拠させる必要があります。
企業がこのSCS評価制度に準拠してセキュリティ対策に取り組む場合、具体的にどのように進めれば良いのでしょうか。
この制度の要求事項や評価基準は、★3では83項目、★4では141項目にのぼります。これらすべてを一度にクリアしようとすれば挫折しかねません。また、情報システムの担当者だけではカバーできない領域も多く、経営陣や他部署とともに会社全体で進める必要があります。
しかし、サイバー攻撃者は待ってくれません。肝心なのは、100点を目指して停滞するより、まずは動きだすことです。
具体的には、自社の現状とSCS評価制度を照らし合わせて対応状況を確認し、例えばポリシーの文書化など、すぐに取り組めるものから着手するのです。全員のパスワードをリセットするだけでもセキュリティ対策として強力です。まずは動き出すことが大事であり、その上で★3を目指し、★4へとステップアップすることをおすすめします。
では、具体的に何から取り組むべきなのでしょうか。うまくイメージできないのであれば、まず「自社の弱点」と「攻撃者の狙い」が重なる部分を考えてみてください。
まず、自社システムを点検して、「ここは止まったら困る」という弱点を洗い出しましょう。認証サーバーや基幹業務システムなどが該当すると思われます。実は、そこが攻撃者の狙うポイントです。その領域を優先的に防御しましょう。
重大なリスクにつながる資産を特定し、想定される侵害シナリオを定義した上で、そのシナリオを解消するように取り組んでいくことが重要です。
ここで、皆さんに質問です。 「普段からセキュリティ対策の運用を適切に行うことができるでしょうか?」 「外部からの侵入や攻撃があったとき、業務停止を許容できるでしょうか?」
「それは難しい」「止まったら困る」と思う方は多いのではないでしょうか。
SCS評価制度に準拠することによりサイバー攻撃のリスクを下げることはできるでしょう。ただ、昨今の攻撃情勢を考えれば、適切に対策をとっていても、対応が後手になる可能性があります。また、「事後対応が重要」とわかっていても、そもそも被害にあいたくないという思いも強いのではないでしょうか。
ここで、私から提案したいのは、「守りたい情報財産は、攻撃者に触れられないように守りましょう」ということです。
最後に、当社のセキュリティ製品「AppGuard」について簡単に紹介します。
AppGuardは、攻撃者を見つけるのではなく、システムの中で動けないようにするというアプローチをとります。アンチウイルスやEDRと異なるのは、OSを保護して攻撃行動を起こせない環境を作り出す点です。ルールに沿った行動のみが許可され、それから外れた動きは「良」「悪」の判定にかかわらずブロックします。
このアプローチを用いることで、アンチウイルスなどで必要となるパターンの更新も不要となります。普遍的で強力な防御を築くことができるので、未知の脅威に対しても有効性が非常に高いと考えています。いわゆる「検知型」のセキュリティ対策の弱点をカバーできます。実際、アンチウイルスやEDRで見つけられなかった攻撃を防御し、大きな被害を免れたというお客様の事例もあります。
さらに、運用面でのメリットも多くあります。侵入した攻撃者の動きを止めるので、まずインシデントには至りません。アラートが出ても時間的猶予があるため、時間をかけて調査や対処をすることができます。また、運用責任者も疲弊することなく、リソースや予算に合わせて落ち着いて対策に取り組むことが可能です。
すでに導入しているアンチウイルスやEDRとの共存や、ピンポイントでの導入も可能です。価格帯も導入しやすい設定になっています。興味をお持ちいただけましたら、ぜひお問い合わせください。
▼ご興味がある方は製品紹介をご覧ください
最新のパソコンセキュリティ対策「AppGuard(アップガード)」
食品業の経営者・マネージャーの皆さまへ
