令和３年度サイバー・フィジカル・セキュリティ対策促進事業（企業におけるサプライチェーンのサイバーセキュリティ対策に関する調査）調査報告書

この報告は、企業におけるサプライチェーンのサイバーセキュリティ対策について書かれた報告書である。近年、中小企業を狙ったサイバー攻撃が増加し、その影響がサプライチェーンを通じて大企業にも波及するケースが顕在化している。こうした背景から、取引先企業を含むサプライチェーン全体でのセキュリティ対策が重要な課題となっている。また、取引先への対策要請における費用負担や独占禁止法への抵触への懸念、効果的な情報共有のあり方についても十分な共通認識が得られていない状況である。

本調査では、大企業・中堅企業9,800社を対象としたアンケート調査（回答数1,878件）と11社へのヒアリング調査を実施し、サプライチェーンのサイバーセキュリティ対策の実態、課題、優良事例を把握・分析した。調査結果によると、17.0%の企業が仕入・外注・委託先等の取引先を経由したサイバー攻撃被害を経験しており、主な攻撃手法としてEmotet、ランサムウェア、ファイル転送サービスの侵害、ホームページ改ざんなどが挙げられた。グループ会社や海外拠点においても同様の攻撃に加え、ビジネスメール詐欺やVPNの脆弱性を利用したネットワーク侵害が確認された。

現状の課題として、対策費用の負担問題、取引先との関係性への懸念、個別対応の負荷の大きさなどから、サイバーセキュリティに関する要請を行いにくいと考える企業が多いことが判明した。さらに、攻撃被害の報告・連絡手順や対応窓口が不明確な企業も多く、重大な影響が生じない場合は外部公表を行わない傾向がある。優良事例としては、取引先の実態に応じたリスク評価と対策、業界団体による基準策定とプラクティス普及、委託先向け業務システムを通じた情報提供・教育、グループポリシーの適用などが挙げられた。