前編では、自然災害や地政学リスクなど多様化するリスクに対するサプライチェーンの現状と、そんなサプライチェーンの強靭化（きょうじんか）をどのように図っていくのかを整理しました。後編では、リスクの中でも近年ますます深刻化している「サイバーセキュリティリスク」に焦点を当てます。
サイバー攻撃による被害は、取引先や委託先を起点にサプライチェーンへと波及し、操業の停止や出荷の遅延といった形で複数の企業の事業継続に影響します。攻撃者が、セキュリティ対策が手薄な関連企業などを踏み台にして、対策が強固な大企業への侵入を試みるような事例も増えてきました。発生確率と影響度が高くなり、事業継続を左右する経営課題として顕在化しています。
ここでは、サプライチェーン全体のサイバーセキュリティリスクを見える化し、判断につなげる取り組みとして、取引先のセキュリティ対策状況を確認する「内部評価」、外部からリスクを把握する「外部評価」、そしてソフトウェアの構成を管理する「Software Bill of Materials（SBOM）」の考え方を紹介します。あわせて、複数の取引先を横断して情報を集約・見える化する基盤の位置付けも紹介します。

サプライチェーンを取り巻くリスクは、自然災害や地政学リスクにとどまらず、サイバー攻撃によっても拡大しています。近年では、サプライヤーを起点とした攻撃により、企業活動が停止する事例も発生しました。

影響は単一の企業にとどまらず、サプライチェーン全体へと波及します。これは、たとえ自社で十分なセキュリティ対策を講じていたとしても、サプライチェーンに属するどこか一社が攻撃されて被害を受け、供給網が分断されてしまえば、最終製品の出荷にも影響を及ぼすリスクがあることを意味します。従来の個社単位のセキュリティ対策だけでは、サイバー攻撃を防ぎきれません。企業間のつながりを前提としたリスクとして捉え、対策する必要があるのです。

実際にIPA（独立行政法人情報処理推進機構）の「情報セキュリティ10大脅威2026」において、組織向け脅威として「ランサムウェア攻撃による被害」と「サプライチェーンや委託先を狙った攻撃」が上位に挙げられていました。^※ サイバー攻撃は、個社だけでなく、取引先や委託先を通じてサプライチェーン全体に影響するリスクとして注目されています。

※IPA「情報セキュリティ10大脅威2026」（https://www.ipa.go.jp/security/10threats/10threats2026.html）

サプライチェーン全体へと被害が拡大すれば、金銭的にも社会的にも影響が非常に大きくなる。このことが、製造業や社会インフラが攻撃者の標的とされる要因だと、私たちは考えています。

では具体的に、サプライチェーンにおけるサイバーセキュリティリスクにはどのようなタイプがあるのでしょうか。東芝では、大きく4つに分けました。

・取引先（委託先）からの情報漏えい
・取引先の業務停止による自社の事業停止
・取引先を踏み台にした不正侵入
・流通経路からの不正なソフトウェアの混入（ソフトウェアサプライチェーンリスク）

これらはすべて、いかに取引先の状況を把握できるかが重要になりますが、サプライチェーンが複雑化すればするほど、どの取引先にどの程度のリスクがあるのかを把握しにくくなるうえ、定量的な評価が難しいのが現状です。だからこそいま、全体のリスクを見える化し、同じ物差しで評価できる仕組みが求められています。

では実際に、どのように備えていくべきでしょうか。

ここでは、代表的な動きを押さえていきます。サプライチェーンにおけるサイバーセキュリティリスクに対応するためには、「内部評価」、「外部評価」、そして「ソフトウェア管理」という3つの観点での取り組みが重要です。

まず内部評価では、自社の視点で、自社および取引先のセキュリティ評価を行います。具体的には、質問票や評価基準を用いて、直接、取引先に対策状況を確認するものです。しかし、取引先にどのような対策を求め、実施状況をどう評価するかが難しいところだと思います。現在、経済産業省において、2026年度末ごろの制度開始を目指し、サプライチェーン全体における対策水準の底上げを目的とした「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の検討が進められています（図1）。^※

※経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」（https://www.meti.go.jp/policy/netsecurity/scs.html）

この制度では、企業が最低限実装すべきセキュリティ対策から目指すべきより高度な対策までを、★3から★5の3段階で示す考え方が整理されています。制度が動き始めれば、取引先に求める対策水準が明確になります。

次に外部評価とは、企業が、攻撃者のような第三者の視点で客観的に取引先のセキュリティ体制を確認するものです。現在は、「Third Party Risk Management（TPRM）」の考え方が広がっており、さまざまなツールが展開されています。調査・評価結果を継続的に更新できれば、グループ企業や取引先を含むサプライチェーン全体のリスクを、実務の意思決定（優先度付け、要請内容、フォロー方法）に結び付けやすくなります。

整理すると、内部評価は、セキュリティ対策の実施状況を取引先に直接確認する取り組みで、一方の外部評価は、外部から見える情報をもとに、攻撃者に狙われやすい弱点がないかを確認する取り組みです。この2つを組み合わせることで、「取引先が自己申告している対策」と、「外部から見たリスク」の両面から確認できます。

最後に、製品に組み込まれるソフトウェアの観点です。ここで重要になるのは、納品対象となる製品や部品に、どのようなソフトウェアが含まれているのかを把握することです。そのための手段として有効なのが、製品に含まれるソフトウェア部品の情報を一覧化する「Software Bill of Materials（SBOM）」です。SBOMによってソフトウェアの構成が明確になれば、公開された脆弱性（ぜいじゃくせい）情報と照合し、サプライチェーンのどこで作られたソフトウェアに脆弱性があるのか、対象製品への影響の有無や範囲を確認しやすくなります。影響が確認された場合には、調達部門と製品部門が連携し、調達先や開発委託先に対して、該当部品の利用状況や修正版への対応状況を確認し、必要な対策につなげやすくなります。これにより、脆弱性が発見された際にも、影響を受ける製品・取引先・対応範囲を迅速に把握し、供給停止や対応遅れのリスクを抑えることができ、サプライチェーンの強靭化につながります。

近年は、経済安全保障を背景に、製品の透明性の確保（調達元や含まれるソフトウェアの明確化）と、セキュリティアシュアランス（脆弱性が含まれていないか）の重要性が高まっています。実際に、欧州連合（EU）の「サイバーレジリエンス法（CRA）」のように、サプライチェーン全体での対応を求める動きが国際的に広がってきています。部品やソフトウェアを提供する企業においてもSBOMへの対応が必要になりつつあり、早めの準備が重要です。

サプライチェーン全体にわたり、内部評価、外部評価、そしてソフトウェア管理の取り組みを実効的に行うためには、企業単体ではなく、サプライチェーン全体の情報を集約し、管理する基盤が不可欠になります。また、各評価は一度実施するだけでは十分ではありません。取引先の状況は変化し、脆弱性に関する情報は日々更新されるからです。そのため、評価結果やリスク情報を継続的に集め、必要なときに確認・比較・更新できる基盤が必要になります。

加えて 、こうした取り組みを継続的に機能させるためには、情報を求める側だけでなく、情報を提供するサプライヤーや委託先にとってもメリットがあることが重要です。内部評価への回答やSBOMなどの情報提供は、サプライヤーにとって一定の負担を伴います。一方で、自社のセキュリティ対策の状況や製品に含まれるソフトウェアの構成を整理しておくことは、取引先からの重複した調査依頼への対応負荷を減らし、説明責任を果たしやすくすることにつながります。また、脆弱性が見つかった際にも、影響のある製品や対応状況を速やかに確認できるため、取引先との信頼関係の維持にも役立ちます。

このようにサプライチェーン全体にわたる管理や運用を支える基盤として、当社は「Meister SRM ポータル」を提供しています。（前編で詳しく説明しています）

内部評価に対しては、SCS評価制度に対応したオプション機能^※によって、経済産業省が求める評価基準に沿ったセキュリティ対応状況の調査・回答を、迅速かつ効率的に実施できるようにしていきます。収集した評価結果を企業ごとに見える化し、複数の取引先を並べて比較・分析することで、より適切な対策の検討や投資の判断に役立てられるようになります（図2）。

※2026年度にリリースを予定しています。

また外部評価に対しては、他社サービスと連携して各取引先の外部評価情報を取得し、統合する仕組みを検討中です。取引先の優先度づけや強靭化の支援といった実務に直結する情報を提供できるようにしていきます。

ソフトウェア管理に関しては、SBOMを活用した製品レベルのリスク管理が重要になります。ただし、SBOMは納品対象となる製品やソフトウェアを提供する企業が作成・更新する必要があり、すべてのサプライヤーがすぐに対応できるとは限りません。体制やツール、費用負担、更新頻度、開示範囲をどうするかなど、実務上の課題があります。また、SBOMにはソフトウェアの構成に関する情報が含まれるため、無制限に開示すると攻撃者にとって有用な情報になり得ます。そのため、必要な関係者に、必要な範囲・粒度で、安全に共有・確認できる仕組みが重要です。Meister SRMポータルでは、SBOM管理や脆弱性診断については他社の専門サービスとの連携を前提とし、サプライチェーン管理の文脈で、SBOMに関する情報や診断結果について、関係企業との連携状況を確認・整理しやすくする仕組みを検討しています。

これら3つの取り組みを通じて、サプライチェーン全体で必要な情報を一元的に管理・見える化することで、分断されていたサイバーセキュリティリスクを構造的に捉えられるようになります。

調達の現場では、日々のやり取りや情報の収集・整理を支える「業務基盤」と、サプライチェーン全体を俯瞰（ふかん）してリスクを見える化・分析する「横断基盤」の両方が必要になります。前編で触れたように、当社では、業務基盤としての「Meister SRM」と、横断基盤としての「Meister SRMポータル」を整備しています。

業務基盤で蓄積される取引情報やコミュニケーションの履歴を、横断基盤でつなぎ直して見える化することで、企業は取引先の優先度付けや強靭化支援といった、サプライチェーン全体のリスク管理を、より実務に沿った形で行えるようになります。

サプライチェーンにおけるサイバーセキュリティリスク対策は、個々の企業だけではもはや対応できない時代です。企業間のつながりを前提に、全体としてリスクを捉え、より実効性の高い対策を回し続けることが求められます。サプライチェーンを構造として捉え、対策水準をそろえ、横断的に見える化しながら運用する――。この積み重ねこそが、不確実な時代における事業継続と競争力を支えます。

東芝は、社会インフラや製造業のお客さまとその関連会社を含めたサプライチェーン全体と、セキュリティ対策に関わるさまざまな知見や製品、商品を提供するパートナー企業をつなぐハブとして、サプライチェーン全体の強靭化に、貢献していきます（図3）。

• 戦略調達ソリューション「Meister SRM」
• サプライチェーンプラットフォーム「Meister SRM ポータル」