2025年2月に経済産業省が発表した「中小企業サイバーセキュリティ実態調査」の結果によると、「サイバー攻撃の被害に遭った中小企業の約7割が取引先に影響を及ぼした」という事実が判明しました。

自社のセキュリティの欠陥はもはや自社だけの問題ではないのです。

とはいえ、

「何をすればいいか分からない」

「コストをかけられない」

と、多くの企業がどうすれば自社と取引先の信頼を守れるのかという課題を抱えているのではないでしょうか。

バックオフィス業務を一括して外注するBPO（ビジネス・プロセス・アウトソーシング）導入により、高いセキュリティ体制で自社および取引先をサイバー攻撃のリスクから守れるメリットがあります。

1．経産省の調査結果からわかるサイバー攻撃被害の実態

経済産業省の調査結果によると、中小企業がサイバー攻撃の踏み台にされる、いわゆる「サイバードミノ」からの被害が増えています。

■ 「サイバードミノ」の連鎖：被害の7割が取引先へ波及

被害に遭った中小企業の68.4%（約7割）が取引先に影響があったとしており、一社のセキュリティの脆弱性がサプライチェーン全体を止めてしまう危険があることがわかります。

たとえばある会社が攻撃を受けると、その納品先のシステムが止まり、その先の顧客にまでその被害が及ぶといった状況です。

■ 約7割の企業のセキュリティが不十分

調査結果では、約7割の企業でセキュリティ体制が未整備であり、約6割が対策投資を一切行っていないことがわかっています。サイバー攻撃者から見ると、セキュリティが脆弱な中小企業ほど攻撃しやすいターゲットとなっているのです。

■サイバー攻撃の代表的な手口とは

主なサイバー攻撃の方法としては、不正なマルウェアというソフトをPCに感染させることで遠隔操作をしたり、IDやパスワードなどのユーザー情報を不正に入手することでユーザーとしてPCにアクセスするなどがあります。また、脆弱なネットワークも狙われやすく、そこからシステムに侵入されるケースがあります。

■侵入経路は他社経由での不正アクセス

不正アクセスの約20%は他社経由、つまり取引先や委託業者からウイルスが送り込まれてきます。大企業のシステムに侵入するために、まず比較的セキュリティレベルの低い中小企業のシステムに侵入する「踏み台攻撃」が増えています。つまり、大手企業のサプライチェーンに組み込まれている中小企業が踏み台として狙われているのです。

また、サプライチェーンだけでなく、公共インフラに関係する企業が踏み台にされた場合は、社会的にも大きな影響を及ぼしてしまうことが考えられます。

■「加害者」になるリスクと求められる社会的責任

こういった実態を踏まえて、現在、大企業はセキュリティ対策が不十分な企業の取引をリスクとして見なす傾向があります。

取引停止や損害賠償を求められるケースも考えられます。また逆に言うと、セキュリティ対策投資を行っている企業の約5割が「取引に繋がった」と回答しており、対策にかかるコストは今や必要な営業経費となっているのです。

2．【実例】サプライチェーンや委託業者から広がったサイバー攻撃の被害

■ トヨタ自動車の全工場を止めた部品メーカーへのサイバー攻撃

• 発生: 2022年
• 経路: 仕入れ先である中小企業のVPN装置（社外接続用機器）の脆弱性が踏み台攻撃の対象に。
• 被害: わずか1社のシステムダウンが、トヨタ国内全14工場の稼働を停止させ、約1万3,000台の生産に影響。

大企業にとって、自社を含めて取引先の中小企業のセキュリティが重要であることを示すもっとも大きな事例です。

■地域の医療を止めた病院の給食委託業者への攻撃

• 発生: 2022年（大阪急性期・総合医療センター）
• 経路: 病院そのものではなく、給食を委託されていた業者のネットワーク経由で侵入。
• 被害: 電子カルテが約2ヶ月停止。緊急手術や新規外来がストップし、ネットワークに含まれる企業のセキュリティの脆弱性が社会インフラを止める事態につながったケースです。完全復旧に2ヶ月を要しただけでなく、原因の特定なども含めて総額約20億円の損害が生じました。最終的に給食業者3社が計10億円の賠償を支払うことになりました。

自社のセキュリティ体制が取引先の事業に多大な影響を与えるだけでなく、病院のような地域の重要な社会インフラをとめてしまうような大きすぎるリスクがあり、社会的な責任の大きさが示された事例です。

3. セキュリティ対策にBPO導入という選択肢

中小企業がこうしたセキュリティリスクに対応するためにITの専門家を雇い、自社で数千万円のシステムを組むなどの対策を講じることはたやすいことではありません。

そこで自社のセキュリティを守りながら業務を一括して委託できるBPO（ビジネス・プロセス・アウトソーシング）が注目されています。

BPOで委託できるバックオフィス業務においても、従業員の個人情報だけでなく、取引先の情報などの機密情報を多く扱っているからです。

BPO導入によるセキュリティ面でのメリットには以下のようなことが考えられます。

■専門性の高い「安全な環境」

自社でPCを管理するのではなく、セキュリティレベルが高いBPO事業者のインフラ上で業務を行うことで、ITに関する専門知識がなくてもセキュリティ対策を講じる事が可能です。

■BPO事業者の高度な専門性によるセキュリティ

多くのBPO事業者は情報セキュリティ環境を整備しており、それを裏付ける「ISMS（情報セキュリティマネジメントシステム）」や「プライバシーマーク」などを取得しています。

自社でこうした体制を整えるには時間もコストもかかりますが、BPO事業者にバックオフィス業務をまるごと委託することにより、高い専門性を持つプロに業務を委託し、情報を安全に管理しているという証明にもなります。

■継続的なセキュリティ更新

セキュリティ対策の大変な点は、一度対策を講じたらそれで完了ではなく、継続的に新たなサイバー脅威への対応が求められ続けるという点です。

こうした脅威に自社だけで対応するには担当者に多くの負担がかかるでしょう。

BPO事業者では常に最新のセキュリティ体制を維持できるよう情報収集や分析を行っています。

また、BPO事業者を選ぶ際には、実際にどのようなセキュリティポリシーが運用されているのかを見極めることも重要なポイントとなります。

4．まとめ

経産省のデータが示す通り、セキュリティ対策はもはやマナーではなく、企業の存続にも関わる条件となっています。

自社を「サイバードミノ」の起点にさせない、そして取引先から「リスク」ではなく「パートナー」として選ばれ続けるためには、プロの知見とインフラを活用できるBPO導入は、中小企業にとってコストパフォーマンスが高い選択肢の一つです。

「IT企業じゃないからうちは大丈夫」という思い込みは危険かもしれません。外部リソースを賢く使ったセキュリティ体制を構築しませんか？その一歩が自社と大切な取引先のビジネスを守ることにつながります。