2025年10月9日、GMOグローバルサイン・ホールディングス株式会社(以降、GMOグローバルサイン・ホールディングス)は経済産業省 商務情報政策局 サイバーセキュリティ課 係長の橋本里菜氏を講師に迎え、「サイバー攻撃の実態と経済産業省における中小企業向けサイバーセキュリティ支援策」と題したウェビナーを開催いたしました。
本記事では、講演の内容を要約してイベントレポートとして紹介いたします。講演の第一部では、橋本氏から、サイバー攻撃の最新動向と、中小企業のサイバーセキュリティ対策の現状、経済産業省の支援策についてお話しいただきました。
続く第二部では、GMOグローバルサイン・ホールディングス 高橋 毅より、経済産業省のサプライチェーン対策評価制度に対応する具体策や、国産クラウド「GMOクラウド ALTUS Advanceシリーズ(以降、ALTUS Advanceシリーズ)」のメリット・活用方法をお話しいただきました。
2人の講演者それぞれにセキュリティ対策の盲点や具体的な対策の例、受けられる支援策などを詳しくお話しいただき、サイバーセキュリティに不安を抱える中小企業にとって活用できる内容となっています。
第一部ウェビナーレポート
第一部では基調講演として、経済産業省商務情報政策局サイバーセキュリティ課の橋本里菜氏より、中小企業の直面するサイバー攻撃の実態や経済産業省の行う支援策、そして現在検討中のサプライチェーン対策評価制度についてお話しいただきました。
講演概要・登壇者プロフィール:
講演タイトル:「サイバー攻撃の実態と経済産業省における中小企業向けサイバーセキュリティ支援策」
経済産業省 商務情報政策局
サイバーセキュリティ課 係長
橋本 里菜 氏
SIerにてネットワーク脆弱性診断を中心としたセキュリティ業務に従事し、金融グループの監査業務にも関与。
2025年より経済産業省にて、中小企業施策と人材育成を主に担当。
中小企業を取り巻くサイバー攻撃の現状
中小企業のデジタルシフトは着実に進み、IT 導入や業務の電子化やクラウド活用、IoT 機器の普及を背景に生産性向上の成果が広がっています。
利便性の裏側で「サイバー攻撃の入口」が増え、インシデント発生リスクが上昇しているのも事実です。
サイバーセキュリティ上のリスクの高まりについて
近年の傾向としてランサムウエア被害が増加傾向で、被害の約6割が中小企業に集中しています。また、ウェブカメラやルーター等の IoT・ネットワーク機器を狙う攻撃も増加しており、日常的に大量の不審トラフィックが観測されています。
サプライチェーンを起点とした被害が増加している点にも注目が必要です。委託先から侵入され、委託元の業務停止や工場稼働の停止、預かり資金の流出など、取引先・顧客へと影響が波及する事案が報告されています。
サプライチェーンにおけるサイバー攻撃は、自社単独の対策だけでは防ぎ切れないリスクとして認識が必要です。
中小企業がサイバーセキュリティ対策を行うメリット
サイバーセキュリティ対策は、単なるリスク回避にとどまらず、ビジネスの信頼性を高める投資となり得ます。IPAの調査では、過去3年間にセキュリティ対策へ投資した企業は、取引につながったと感じる割合が未投資企業の約2倍に上ることが示されています。さらに、SECURITY ACTION自己宣言の25項目や第三者認証(ISMS認証、Pマーク)などに取り組み、対策状況を可視化しておくことが、取引先からの信頼獲得や安心感の向上につながるという声も多く寄せられています。これらの対策項目を多く実施している企業ほど、インシデント発生時の被害額が少ない傾向があり、長期的なリスク低減にも効果的です。
経済産業省による主な支援策
経済産業省では、サイバー攻撃の深刻化に対応するため、次の4つの柱で支援策を展開しています。
- 1. サプライチェーン全体での対策強化
- 2. セキュア・バイ・デザインの実践
- 3. 政府全体でのサイバーセキュリティ対応体制の強化
- 4. サイバーセキュリティ供給能力の強化
ここでは、中小企業を対象とした制度や支援内容について解説します。
SECURITY ACTION制度
SECURITY ACTIONは、中小企業が自ら情報セキュリティ対策に取り組むことをIPAに対して自己宣言する制度です。
制度では、ランク別の対策項目が設けられています。
| 1つ星(基本的な5項目の対策) | OSやソフトウエアの定期更新、ウイルス対策ソフトの導入、パスワードの強化、クラウドサービスや複合機の共有設定の見直し、脅威や攻撃の手口を知る |
|---|---|
| 2つ星(より実践的な25項目の対策) | 1つ星の内容に加えて、組織的な管理体制の整備や、ウイルス感染や故障に備えたバックアップの取得、セキュリティ教育などの対応 |
IT導入補助金などの一部の制度では、この「SECURITY ACTION」の自己宣言を行っていることが申請条件となるケースもあります。
サイバーセキュリティお助け隊サービス
サイバーセキュリティお助け隊サービスは、専門知識や専任人材がいない中小企業でも導入しやすいよう設計された、ワンパッケージ型のセキュリティ支援サービスです。
主な内容は以下のとおりです。
- ・EDR(Endpoint Detection and Response)やUTM(統合脅威管理)による不審通信・異常検知の監視
- ・インシデント発生時の駆け付け支援・初動対応
- ・被害をカバーする簡易サイバー保険
これらのサービスを月額1万円以内という低コストで利用できる点が特徴で、すでに全国45の事業者がサービスを提供し、導入実績は8,400件以上(2025年3月末時点)にのぼります。
サプライチェーン対策評価制度
※現在検討・構築中の制度であり、本項の内容は令和7年4月公表の中間取りまとめに基づく内容であることに御留意ください。
経済産業省が現在検討を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度(仮称)」は、サイバー攻撃の脅威が高まる中で、発注者・受注者の双方が安心して取引できる環境を整備することを目的とした制度です。
制度の目的は、サプライチェーンにおける重要性に基づき、各企業が実施する対策内容を示し、企業のセキュリティ対策状況を可視化することにあります。
企業ごとのセキュリティ対策レベルを一定の基準で評価することで、取引先がどの程度の対策を講じているかを一目で把握できるようになります。
これにより、発注側は取引リスクの把握や審査プロセスの簡略化が可能になり、受注側は、重複したチェックリスト対応の負担を軽減し、効率的に取引条件を満たせるようになります。
サプライチェーン企業が星を取得するメリット
評価制度では、企業のセキュリティ対策状況を星の取得で示します。
星の取得が取引における共通の評価基準となり、発注者・受注者間のコミュニケーションをスムーズにします。
星を取得することによる主なメリットは以下の通りです。
- ・セキュリティ対策の工数・コストを削減
- ・取引先企業との信頼構築
星の取得がそのままセキュリティ対策水準の証明となるため、発注者との信頼関係構築や新規取引の獲得に有利になることが期待できます。
3つ星・4つ星の対策項目の例
評価制度は、SECURITY ACTIONの上位レベルとしての位置づけられており、3つ星から始まります。
サプライチェーン企業が最低限実装すべき対策レベルとして3つ星を設定し、標準的な目標としては4つ星を設定しています。さらに、より強固な対策を講じる企業向けに5つ星を設ける予定です。
3つ星の代表的な対策項目は以下の通りです。
| 経営の責任 | リスク管理体制構築(セキュリティ対応方針の策定や自社のセキュリティ担当の明確化)、インシデント発生に備えた対応手順の整備、自社IT基盤や資産の現状把握 |
|---|---|
| サプライチェーンの防御 | 接続している外部情報システムの一覧化、取引先との機密情報共有のルール化 |
| IT基盤の防御 | 不正アクセスに対する防御(ID管理手続き、アクセス権限設定、パスワード管理、ネットワークの分離)、端末やサーバーの保護 |
現在、中小企業情報セキュリティガイドラインはこの3つ星・4つ星の取得の「実践的な手引き」として改訂を進めております。改訂では、星取得に必要な考え方や対策の提示に加え、規程類のひな形を付録として提供し、中小企業が段階的に評価項目を達成できるように支援することを目指しています。
第一部ウェビナーまとめ
近年では、中小企業においてもデジタル化・DX化が進んでいます。企業のデジタルシフトが進む一方で、サイバー攻撃が増加しているのも現状です。
企業規模を問わずに、セキュリティ対策が必須になってきているのは間違いありません。また、セキュリティ対策を行うことにより、取引先からの信用獲得につながるというメリットもあります。
2026年より、経済産業省の支援策としてサプライチェーン対策評価制度の実施がスタートします。制度が実施されれば、企業のセキュリティ対策状況の可視化にもつながりますので、受注側・発注側の双方にメリットになると考えられます。支援策を上手に活用して、社内のセキュリティ対策に活かすことが推奨されます。
第二部ウェビナーレポート
第二部では、GMOグローバルサイン・ホールディングス 高橋 毅が、中小企業のサイバーセキュリティの実態から、サプライチェーン対策評価制度の実装の具体例について講演します。
さらに、2025年9月30日に新しくリリースした国産クラウドサーバー「ALTUS Advanceシリーズ」のメリットや活用例についても紹介しています。
講演タイトル:「サーバー運用初心者必見!セキュリティ対策の盲点と解決策」
GMOグローバルサイン・ホールディングス株式会社
高橋 毅
GMOグローバルサイン・ホールディングス株式会社所属。20年にわたり一貫してクラウド・ホスティング事業に従事。サーバー・ネットワークの構築運用といった技術職務を経験後、米国子会社にてサービス企画・営業を歴任。その後。国内の営業企画を経て、現在はプリセールスとしてお客さまのインフラ導入支援を行っている。
中小企業におけるサイバーセキュリティの実態
GMOグローバルサイン・ホールディングスが2025年に実施したアンケート(調査件数500名)では、情報セキュリティ担当者の半数超が「日常的な予防対策に十分な時間を割けていない」と回答しています。
さらに7割以上が現状の対策を不十分と認識する一方、9割近くは対策の重要性を感じているという結果が見えてきました。対策が進まない要因として、専門知識の不足や人材リソース不足・予算不足が上位に挙がっています。
セキュリティ対策評価制度の実践事例
経済産業省が検討中のセキュリティ対策評価制度は、企業のセキュリティ対策を見える化する仕組みとして、ランク(星)ごとに到達すべき基準を定義しています。
自社の環境に、制度で求められるセキュリティ対策を導入する場合、星の数に応じて必要なセキュリティ対策の内容が異なります。
星ごとのセキュリティ実践の事例を解説します。
| 1つ星/2つ星(基礎~実践25項目) | リスク管理体制構築(セキュリティ対応方針の策定や自社のセキュリティ担当の明確化)、インシデント発生に備えた対応手順の整備、自社IT基盤や資産の現状把握 |
|---|---|
| 3つ星(クラウド環境での組み込み) | 脆弱性診断(ネットワーク/アプリケーション)、IDS/IPSの導入などクラウド環境での実施項目 |
| 4つ星(組織横断の強化) | 経営層主導のガバナンス体制、取引先管理など |
| 5つ星(第三者評価・国際規格との整合) | リスクベース運用、PDCAによる継続的改善、未知の攻撃への対策など |
3つ星までは自己評価ですが、それ以上のランクは第3者の評価が必要となる点にも注意しておきましょう。
GMOグローバルサイン・ホールディングスが行えるサポート
GMOグローバルサイン・ホールディングスでは、企業規模や用途に応じて柔軟に選べるサーバーラインアップを提供しています。
WebサイトやECサイト向けの小規模構成から、業務システム・社内ネットワーク・大規模クラスタ構成などのエンタープライズ環境にまで、幅広く対応可能です。
3つ星を目指すためのベストプラクティス
経済産業省が掲げるセキュリティ対策評価制度において、3つ星水準のセキュリティ対策を実装するうえで、GMOグローバルサイン・ホールディングスがサポートできるのが、導入・設定・運用のトータルサポートです。
これらのセキュリティオプションをご利用いただくことで限られた人的リソース下でも3つ星相当のセキュリティ対策を維持できる環境を実装可能です。
さらに、プレミアムサポート(月額11,000円(税込))を利用することで、サーバー導入後のトラブル対応や緊急時の復旧支援を強化したい企業向けに、プレミアムサポートを提供しています。
- ・優先窓口による迅速な対応
- ・設定代行メニューとの連携
- ・運用支援+技術相談の一体化
このプレミアムサポートにより、運用しながら強化できるセキュリティ環境を構築できます。
国産クラウドで速度No.1のALTUS Advanceシリーズがリリース
GMOクラウド ALTUSをはじめとした弊社のクラウドサーバーでは、サービスのベースとして3つ星の取得を目指しています。
2025年9月30日にリリースされたALTUS Advanceシリーズは、主要国産クラウドの中でもトップクラスの速度を誇る柔軟性の高いクラウドサーバーです。
I/O負荷テストツール「fio」を用いてストレージ性能を10回計測した平均値で、ALTUS Advanceシリーズと国産クラウドサービス上位4社と速度を比較した結果が次のとおりです。
| サービス | 4k Read (IOPS) | 4k Write (IOPS) |
|---|---|---|
| GMOクラウドALTUS Advanceシリーズ (※2) | 7,970 | 8,302 |
| A社 | 5,233 | 4,027 |
| B社 | 5,133 | 3,318 |
| C社 | 4,020 | 5,225 |
| D社 | 2,960 | 1,140 |
(※2)ストレージstandard利用時の数値となります。
また、ALTUS Advanceシリーズでは、導入や移行・監視保守など、セキュリティ対策における様々な課題に対応する、マネージドサービスメニューが約60種類以上用意され、国産クラウドにおける提供するNo.1を獲得しております。
ALTUS Advanceシリーズは、利用開始から14日間無料で利用できますので、サプライチェーン評価制度実施への対策としてまずは、そのサポート体制、使い勝手をトライアルください。
サイバー攻撃の脅威は年々高度化しており、中小企業にも実効的な対策が求められています。経済産業省の支援策や今後導入される評価制度を踏まえ、自社の現状を見直しながら、早期にセキュリティ体制を整備していくことが重要です。
第二部ウェビナーのまとめ
中小企業の情報セキュリティ担当者を対象に行ったアンケートでは、半数以上の方がセキュリティ対策に十分な時間をかけられていないと答えています。
大きな理由となっているのが専門知識、人材リソースの不足です。経済産業省が検討しているサプライチェーン対策評価制度では、サプライチェーン単位で目指すべきセキュリティ対策の水準がランクごとに可視化されます。
セキュリティ対策に時間が取れないという方に対しては、GMOグローバルサイン・ホールディングスのセキュリティオプションで、導入から運用、インシデント発生時の対応までサポートすることが可能です。
新たにリリースされた国産クラウド「ALTUS Advanceシリーズ」では、3つ星相当のセキュリティ実装を支援し、14日間の無料トライアルも可能です。
デジタルシフトとサイバーセキュリティは両輪で取り組むべき課題
本ウェビナーでは、2人の講演者により、中小企業の直面しているサイバーセキュリティの課題から、求められる対策まで詳しくお話しいただきました。
すでに中小企業でも8割以上の企業がITを導入し、積極的にデジタルシフトを進めています。一方で、企業のDX化に伴いサイバー攻撃の入口は増加しており、企業規模に関わらずサイバーセキュリティは取り組むべき課題です。
経済産業省が検討しているサプライチェーン対策評価制度は、求められるセキュリティ対策の水準を可視化し、受注側・発注側双方にメリットが期待されます。
ALTUS Advanceシリーズとマネージドオプションを活用していただくことで、中小企業のセキュリティ対策における課題解決のお役にたてるかと思います。
※ 2025年9月30日時点の情報です。
