取引停止は突然やってくる！セキュリティ対策評価制度を知らない企業が失うもの

05.04.2026

NEWTREND

Key Points to Understand First

商談の場でこの一文が出た瞬間、空気が変わることがあります。製造業でも建設業でも、士業でも医療法人でも。IT企業だけの話ではありません。

警察庁の調査によると、2025年のランサムウェア被害報告件数は226件。被害組織の約6割が中小企業です。

「うちは小さいから狙われない」。その前提は、もう通用しません。対策が手薄なところほど狙われます。

問題はサイバー攻撃だけではありません。

サプライチェーンが複雑化した今、大企業は「取引先の対策状況」を確認せざるを得なくなっています。自社がどれだけ万全でも、取引先が突破口になれば意味がないからです。

その結果、入札要件や取引基本契約書に「セキュリティ対策確認」が盛り込まれるケースが増えています。

IPAが推進する「SECURITY ACTION」は任意の制度です。しかし実態として、これが信用の前提条件になりつつあります。

では、実際に被害に遭うとどうなるか。被害総額（調査・復旧・身代金を含む）は1,000万〜5,000万円未満が最多で、1億〜10億円に達したケースも15.6％あります。しかも、身代金を支払っても復旧に失敗した割合は25.6％。4社に1社以上が、払い損になっているのが実態です。

難しく考えすぎないことが大事です。全部を一度にやろうとすると止まります。まずはこの流れで進めてみてください。

「何を守るべきか」がわからないと、対策のしようがありません。最初にやることは、自社にどんな情報があるかを書き出すことです。

Excelでいいので、「情報の種類・保存場所・アクセスできる人」の3列で一覧を作るだけで、リスクの輪郭が一気に見えてきます。

棚卸しが終わったら、次は「誰が何にアクセスできるか」を見直します。ここは多くの企業で放置されがちな部分です。

よくある問題をそのまま挙げます。

ランサムウェアの侵入経路としてVPNやリモートデスクトップ用機器が8割を占めており、その主な原因は脆弱なID・パスワードや不要なアカウントの管理不備です。一つひとつは小さく見えても、組み合わさると侵入経路になります。

ランサムウェアは、ファイルを暗号化して身代金を要求してきます。このとき、バックアップがあるかどうかで対応がまったく変わります。

ただし注意点があります。バックアップが「同じネットワーク上にある」だけでは意味がありません。感染が広がれば、バックアップも道連れになります。

確認してほしいポイントはシンプルです。

「取ってある」と「使える状態にある」は別物です。身代金を支払わずに自力で1か月以内に復旧できた企業が6割を超えている一方、長期間かけても復旧できずに作業を終えた企業もあります。その差は、バックアップ体制の質にあります。

生成AIの普及で、新しいリスクが加わっています。ChatGPTやその他の生成AIに、社員が無意識に顧客情報や社内資料の内容を入力してしまうケースが増えています。

悪意はなくても、情報漏えいは起きます。

まずは「社員が業務でどんなクラウドサービスや生成AIを使っているか」を把握することが先決です。把握できたら、「これは使ってよい・これは使う前に確認」という簡単なルールを一枚紙でまとめて共有するだけでも、リスクは大きく変わります。

STEP 1〜4が整ってきたら、IPAの「SECURITY ACTION」に宣言することをおすすめします。

これは社内の取り組みを対外的に示す制度で、★1つ星と★2つ星があります。まずは★1つ星（5分程度でできる自己宣言）から始めるだけでも、取引先への説明材料になります。

入札要件や取引先アンケートで聞かれたとき、「宣言済みです」と言えるかどうかは、小さいようで大きな差です。

ここまで紹介したのは、あくまで「まず動き出すための入口」です。

実際には、インシデント対応の手順を整備する、社員教育の仕組みをつくる、外部からの脆弱性を定期的に診断する。やるべきことはまだあります。全部を一度にやる必要はありませんが、優先順位を間違えると、抜け穴が残ります。