1件の被害が経営を揺るがす - サプライチェーン時代のサイバー攻撃の被害額
- tw-sales
- 6 日前
- 読了時間: 4分
更新日:3 日前
1. 基本的なセキュリティ対策 見せる広がり
セキュリティ対策、されていますか?
近年、多くの中小企業でも、セキュリティへの意識は着実に高まっています。
実際、IPA(情報処理推進機構)が2025年5月に公表した「中小企業の情報セキュリティ対策に関する実態調査」では、73%の企業が「パソコンやサーバーのOSを最新の状態に保っている」、71%が「ウイルス対策ソフトを導入し、定義ファイルを常に更新している」と回答しています。
こうした基本的対策が広がる一方、これはあくまで“第一段階の防御”。
多くの企業にとって、次のステップ――ウイルス対策やバックアップ、不審メール対策などの多層防御や、社員教育、取引先との連携などは、まだ課題が残る部分も多いのではないでしょうか。
2. 「アップデートしているのに狙われる」──見落とされがちな“踏み台リスク”
そんな今日、サプライチェーンが狙われています。
サプライチェーンとは、原材料の調達から製造、流通、販売までの一連の流れに関わる、関連企業や取引先のネットワーク全体のこと。
現代のビジネスでは、顧客や取引先、協力会社など、様々な企業とつながりながら仕事を進めるのは、企業活動をする上で当たり前になっています。
そのチェーンの中でも、セキュリティが手薄になりがちで、大手企業との取引がある中小企業こそ、攻撃者にとって“狙いやすい入口”になっているのです。
なぜ攻撃者にとって中小企業を狙うのが有利なのでしょうか。
理由はシンプルで、入りやすく、見返りが大きいから。
中小企業は、専門のセキュリティ担当者の専任や防御体制が十分でないケースも多く、メールやリモート接続、古いシステムなどに“入り口の隙”が残りがちです。
言い換えれば、攻撃者にとっては、手間をかけずに侵入できる「低リスクの標的」です。
さらに、一度入り込めば、取引先企業のデータやシステムにもアクセスできる場合もあり、1社を突破するだけで、複数の企業を同時に攻撃できる効率の良さがあるのです。
このように、自分の会社が“直接狙われるほどの規模ではない”と思っていても、サプライチェーンの中で攻撃の踏み台にされる危険は常に存在しています。
3. 被害の代償──1回の攻撃が会社を揺るがす
「セキュリティが大事だ」と言われても、実際に被害にあったらどれくらいの損失になるのか──
具体的にイメージするのは、なかなか難しいですよね。
特定非営利活動法人 JNSA(日本ネットワークセキュリティ協会)の調査では、中小企業がサイバー攻撃を受けた際、その被害額は数千万円から場合によっては数億円規模の損失が生じる可能性があることが示されています。
対応内容 | 想定費用(中小企業) |
原因調査費用 | 300万〜400万円 |
セキュリティコンサルティング | 10万〜100万円 |
法律相談 | 30万〜100万円 |
DM送付による通知対応(1万人) | 約130万円 |
新聞広告出稿 | 約50万円 |
コールセンター設置(3ヶ月) | 700万〜1,000万円 |
見舞金・見舞品(1万人分) | 約650万円 |
ネット炎上対策 | 300万〜900万円 |
ダークウェブ調査 | 数百万円以上 |
クレジット情報モニタリング(1ヶ月) | 100万〜500万円 |
システム復旧費用 | 数百万円〜数千万円 |
再発防止費用 | 数百万円〜数千万円 |
超過人件費 | 規模により大幅変動 |
経済産業省の調査によると、中小企業の平均売上は約2.1億円。
つまり、1件のセキュリティインシデントで、売上の数割が消える、最悪の場合は会社自体の存続に関わる恐れもあるのです。
さらに深刻なのは、お金で換算できない損害。例えば...
取引先からの訴訟・契約打ち切り
顧客情報の流出による信用喪失
ECサイト停止による売上消失
SNSでの風評被害
攻撃を受け企業は、もちろん被害者です。
しかし、サプライチェーンの中で、各企業が密接につながっている中で、「被害者」は同時に他社にとっての「加害者」にもなり得ます。
一社の油断が取引先全体の信頼を揺るがす時代。
だからこそ、セキュリティ対策は「自社を守るため」だけでなく、取引先やお客様を守るための社会的責任でもあります。
<参考情報>