「うちは大企業じゃないから狙われない」という思い込みが、サイバー犯罪者にとって最大のチャンスになっています。

実際、近年のサイバー攻撃は大企業そのものを直接狙うより、セキュリティが手薄な取引先を踏み台にして侵入するケースが増えています。中小企業だから関係ない、ではなく、中小企業だからこそ狙われる時代です。

この記事では、サプライチェーン攻撃の実態と、2026年度末スタートのSCS評価制度が求めるメール対策の中身を解説します。

この記事を読むとわかること

• サプライチェーン攻撃の手口と、なぜメールが狙われるのか
• 情報漏洩が起きたときの実際のダメージ
• SCS評価制度★3が求めるメール対策の具体的な中身
• 中小企業が現実的に始められる対策ステップ

サプライチェーン攻撃とは何か

サプライチェーン攻撃とは、セキュリティの堅固な大企業を直接狙わず、取引関係にある中小企業を踏み台にして侵入する手口です。本丸ではなく、抜け穴になりやすい外堀から攻める戦略といえます。

IPAが毎年発表する「情報セキュリティ10大脅威2026」では、「サプライチェーンや委託先を狙った攻撃」が組織向けの脅威として第2位でした。8年連続でランクインしており、製造業・医療機関・自治体など業種を問わず被害が報告されています。

「自社は小規模だから大丈夫」という認識は危険です。攻撃者は大手への侵入経路として、対策が手薄な企業を意図的に狙うからです。

参考：IPA「情報セキュリティ10大脅威 2026」

なぜメールが狙われるのか

米国のサイバーセキュリティ機関CISA（サイバーセキュリティ・インフラセキュリティ庁）は、サイバー攻撃の90%以上が、フィッシングメールを入口としていると明示しています（参照：CISA公式サイト）。

メールが狙われる理由はシンプルです。誰でも毎日使っていて、しかも「人が判断して開く」からです。
どれほどシステムを強化しても、人が騙されて開けば侵入されるため、「システムによる防御」と「従業員への教育」の両輪での対策が不可欠です。

サプライチェーン攻撃の主な手口

サプライチェーン攻撃で特に使われるのが、「取引先になりすましたメール」です。
普段やりとりしている会社のアドレスに似たメールは見破りにくく、気づかずに添付ファイルを開いてしまうケースが後を絶ちません。主な手口は以下の3パターンです。

• フィッシング型：偽サイトへ誘導してアカウント情報を盗む
• なりすまし型：取引先や上司を装って送金・情報開示を要求する
• 添付ファイル型：マルウェアを仕込んだファイルを開かせる

情報漏洩が起きたときの実際のダメージ

メールを起点にした情報漏洩が発生した場合、企業が受けるダメージは金銭的なものだけではありません。

まず、取引先への被害波及と、それに伴う契約解除・取引停止のリスクがあります。
自社だけでなく、踏み台にされた側の取引先にも迷惑をかけることになり、関係修復には相当な時間とコストがかかります。

次に、インシデント対応そのもののコストです。
原因調査や影響範囲の特定、関係者への通知、対外説明や再発防止策の実施にかかるコストなど。ひとたび漏洩が起きると、対応だけで数百万円規模の費用が発生するケースも珍しくありません。

そして最も回収が難しいのが「信頼の失墜」です。特に大企業や官公庁との取引がある企業にとって、一度のセキュリティ事故が、長期的な受注機会の喪失につながることがあります。

SCS評価制度★3が求めるメール対策の中身

SCS評価制度の★3では、「外部からの不正アクセス防止」と「情報漏洩対策」が要求事項として含まれます。
ここで重要なのは、「やっている」と「証明できる」は別物だという点です。

SCS評価制度はあくまで評価・審査が伴う制度です。口頭での説明ではなく、ログや設定の記録によって対策状況を示せることが求められます。

具体的にメール対策として求められる内容は、以下の3つに整理できます。

1.受信側の防御

ウイルスメールや迷惑メールを従業員に届く前にシステム側で自動ブロックし、不審な添付ファイルを隔離・無害化する仕組みがあること。

2.送信側のコントロール

宛先間違いによる添付ファイルの誤送信を防ぐ仕組みや、パスワード付きZIP運用（PPAP）からの脱却など、安全に送信・記録できる環境があること。

3.記録・証跡の整備

「対策をしている」と言えるだけでなく、監査ログの取得や全メールのアーカイブ（長期保管）によって、有事の際や審査時に「証明できる」状態にあること。

中小企業が現実的に始められる3つのステップ

「何から手をつければいいかわからない」という企業向けに、現実的な対策の手順を3つにまとめました。

Step1：現状把握

まず「何が守れていないか」を知ることが先です。現在使っているメールサービスにウイルス対策・迷惑メールフィルター・送信ログの保存機能があるか確認しましょう。

Step2：メール管理体制の整備

受信側のフィルタリング強化と、送信側の誤送信防止対策を並行して整備します。ツールの導入だけでなく、「誰が管理するか」というルール整備もセットで行うことが重要です。

Step3：記録・証跡の仕組みを作る

メールのアーカイブ（保管）と監査ログの取得を設定します。これにより、インシデント発生時の調査対応と、SCS評価制度での「証明」の両方に備えられます。

「証明できる」メール対策で、自社と取引先を守る

メールは業務の中心にある分、攻撃の入口にもなりやすいツールです。サプライチェーン攻撃の脅威が高まる今、「メールを守ること」はSCS評価制度への対応というだけでなく、取引先や自社の信頼を守ることにもつながります。

株式会社サイバーウェイブジャパンの「CWJ Secure One（セキュアワン）」では、迷惑メール・ウイルス対策・添付ファイル無害化・誤送信防止・クラウドにおけるメール保管をオールインワンで提供しています。

受信側の防御から送信側のコントロール、証跡の整備まで、SCS評価制度が求めるメール対策をまとめて対応できます。

「まずは自社の対策が十分か確認したい」「審査に耐えうる証跡管理の仕組みが欲しい」とお考えのご担当者様は、ぜひお気軽にご相談ください。

　

この記事のポイント

• 1.サプライチェーン攻撃はどのような企業が注意すべき？

  セキュリティの堅固な大企業を直接狙わず、取引関係にある中小企業を踏み台にして侵入する手口です。「自社は規模が小さいから狙われない」という思い込みは危険で、対策が手薄な企業が意図的に狙われています。

  詳しくは「サプライチェーン攻撃とは何か」をご覧ください。

• 2.「メール」からサイバー攻撃が始まる理由は？

  メールからサイバー攻撃が始まる主な理由は、以下の通りです。

  • システムではなく「人が判断して開く」という弱点を狙えるから
  • 取引先へのなりすまし（フィッシング等）は人が見破りにくいから

  詳しくは「なぜメールが狙われるのか」をご覧ください。

• 3.情報漏洩が起きたときに受けるダメージは？

  情報漏洩が起きたときの主なダメージは、以下の通りです。

  • 取引先への被害波及や、それに伴う契約解除リスク
  • 原因調査や事後対応にかかる数百万円規模のコスト
  • 信頼の失墜による長期的な受注機会の喪失

  詳しくは「情報漏洩が起きたときの実際のダメージ」をご覧ください。

• 4.SCS評価制度★3が求めるメール対策とは？

  SCS評価制度の★3で求められるメール対策は、以下の3つです。

  • 受信側の防御
  • 送信側のコントロール
  • ログや記録によって対策を「証明できる」状態にすること

  詳しくは「SCS評価制度★3が求めるメール対策の中身」をご覧ください。