中小企業に「自前防御」を求める限界と、ベンダー標準機能としての「重要操作アシュアランスゲート」

日本企業の99.7%を占める中小企業。そのサイバーセキュリティ対策は、個社が自助努力のみで対応できる範疇を大きく超えつつある。資金や専門人材が限られる中小企業に対し、高度なゼロトラストアーキテクチャの構築・運用を求めるのは、構造的に極めて困難である。実際にSophosの調査（2025年版）では、サイバー被害の要因として「スタッフや技術・スキル不足」を挙げた企業が63%に達している。経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度」は、中小企業が限られたリソースの中で必要な対策を判断しやすくする制度として設計されている。これは、個社の努力だけで高度な対策を完結させることの難しさを、公的制度側も前提にし始めていることを示している。では、日本の中小企業、ひいては日本の産業基盤の実効的な防衛力をいかに高べきか。 解決策の一つとして、中小企業が依存するシステムやITツールを提供する「システムベンダー」側が、致命的な破壊操作を実行前に止めるゲートを標準機能として装備することの必然性が高まっている。

▼ADICサイバーアシュアランスのプレスリリースはこちら https://prtimes.jp/main/html/rd/p/000000003.000182721.html

1. 深刻化するサプライチェーン攻撃と、取引先へのリスク波及

「自社には窃取されるような重要情報はない」という中小企業経営層の認識は、もはや現実と乖離している。攻撃者の目的は、セキュリティの比較的脆弱な中小企業を踏み台にして、その先にある大企業やサプライチェーン全体を機能不全に陥らせることに移行しているからである。IPAの「情報セキュリティ10大脅威」において、組織向け脅威の1位「ランサムウェア被害」に次ぎ、2位には「サプライチェーンや委託先を狙った攻撃」が上位に入り続けている（2025年版、2026年版ともに同様の傾向）。さらに、経済産業省が「サイバーセキュリティ経営ガイドライン Ver.3.0」で示す通り、サプライチェーン全体を通じたサイバーリスク管理は今や一法人のガバナンス責任の一部として位置づけられている。経済産業省が2025年2月に公表した中小企業実態調査では、過去3年間にサイバー攻撃の被害に遭った中小企業のうち約7割で、取引先にも影響が及んだことが示されている。中小企業のセキュリティにおけるインシデントは、個社の損失にとどまらず、産業全体の取引網を麻痺させる起点となり得る。

2. 「自力防衛」を前提としたアプローチの構造的限界

国やIPAはこれまで、中小企業向けに「SECURITY ACTION」制度や各種セキュリティガイドラインなどの支援策を展開してきた。しかし、こうした支援の手厚さは、裏を返せば「中小企業が単独で高度なサイバー攻撃に備えるリソースは決定的に不足しており、自力による完全な防御は現実的ではない」という公的な前提を示している。IT人材が不足する国内市場において、すべての中小企業にSOC（セキュリティ運用センター）の構築や、高度な振る舞い検知（EDR）ソリューションの適切な運用を求めることは実質的に困難である。防御の実効性をユーザー（中小企業）のスキルと投資にのみ依存する旧来のモデルは、限界を迎えている。

3. ベンダー責任へのシフト：国内外の法・政策動向

この構造的限界を受け、サイバーセキュリティの責任を「エンドユーザー」から「システム供給者」へとシフトさせる方針が明確化している。2026年3月31日、経済産業省と内閣官房国家サイバー統括室（NCO）は共同で、「サイバーインフラ事業者に求められる役割等に関するガイドライン」を公表した。本ガイドラインにおいて、ソフトウェア（パッケージ製品、クラウドサービスなど）の開発・供給・運用を行う事業者は「サイバーインフラ事業者」として位置づけられ、期待される役割が体系的に整理されている。同ガイドラインは、「セキュアバイデザイン（設計段階からの安全性確保）」および「セキュアバイデフォルト（初期設定での安全性確保）」を基本原則とし、供給側に対して明確なセキュリティ確保の標準責任を求めている。この動きはグローバルな規制強化とも整合している。

• 米国CISA： 「Secure by Design / Default」の原則を提唱。セキュリティの責任を最も脆弱なエンドユーザー（中小企業）に負わせるのをやめ、ソフトウェア開発元がその設計に責任を負うべきであるというアプローチを主導している。

セキュリティの主戦場は、「中小ユーザーの運用努力」から「ベンダー側の設計・製造責任」へとシフトしつつある。

4. 攻撃のチョークポイント：組織の継続性を脅かす「致命的操作」

Verizonのデータ侵害調査レポート（DBIR 2025）によると、ランサムウェアが侵害事案の44%に関与していたと報告されている。さらに同レポートでは、中小企業がランサムウェアの標的から外れておらず、対策が弱いことが攻撃者にとって利点になっていることが分析されている。攻撃者が特権ID（管理者権限）を奪取した後に実行する「致命的操作（チョークポイント）」は、実務的に以下の4つに集約される。

1. バックアップデータの破壊（削除・暗号化）：復旧手段の喪失。

2. 監査ログの削除（痕跡消去）：追跡、インシデントフォレンジックの妨害。

3. 権限・設定の変更：永続的なアクセスバックドアの構築。

4. データの外部送信（二重恐喝）：暴露による強迫。

NIST（米国立標準技術研究所）のランサムウェアリスク管理資料でも、重要データのバックアップ、保護、復元テスト、および隔離が求められている。しかし、従来の多くのセキュリティシステムは「認証（ID・パスワード、多要素認証）」に依存している。そのため、ひとたび特権IDが奪取されると、システムは攻撃者による操作であっても「正当な特権管理者からの命令」と判断し、バックアップの削除やログの消去をそのまま実行してしまう。「誰が操作しているか（アクセス権限）」のみを検証するモデルには、構造的な限界が存在する。

5. ADICサイバーアシュアランス：証拠に基づく致命的操作の抑止

この限界を補完する技術的アプローチが、ADIC（Advanced Data Integrity by Ledger of Computation）サイバーアシュアランスである。ADICの思想は、操作を行う「主体やアカウント（Who）」の認証結果のみを過信しない。代わりに、実行しようとしている「操作（What）」そのものの正当性を、客観的に裏付ける「操作に紐づく、後から再確認できる証拠（Re-executable Evidence）」の提示を求める。これを単純化すると、ADICは「管理者であること」だけではなく、「その操作を今実行してよい証拠があること」を実行条件に加える。特権IDによる致命的な操作 ![][image1] に対し、ADICは単にアカウントの認可状態 ![][image2] だけを検証するのではなく、その操作に紐づく後から再確認できる証拠 ![][image3] を要求し、次の論理式に従って検証を実行する。\\text{Execution}(O) \= \\text{True} \\iff A \\in \\text{Admin} \\land \\text{Verify}(E) \= \\text{True}

【直感的な仕組み：何が違うのか】

従来のシステムが「鍵（特権ID）」さえ持っていれば何でも実行できたのに対し、ADICは「その致命的な操作を今行うための、客観的な証明書（証拠）の提示」を要求する。例えば、「バックアップを削除する」という特権操作を要求した際、事前に設定された「二名の責任者による承認署名のデジタル結合」や「正式なメンテナンスワークフローの暗号学的承認スタンプ」などの証拠（Evidence）が合致しない限り、仮に本物の管理者アカウントが乗っ取られていたとしても、システム自身が削除プロセスを実行前に遮断する。このアプローチにより、以下の自律的な制御メカニズムが可能となる。

• 証拠なきバックアップ削除操作の拒絶

• 証拠なきログの改ざん・削除処理の停止

• 証拠なき高リスクな外部送信プロセスのブロック

仮に特権アカウントが乗っ取られたとしても、この「致命的操作ゲート」が機能していれば、企業の継続性を揺るがすような決定的な操作の実行は極めて困難となり、被害は最小限に抑えられる。このゲートをシステムの「標準的な仕様」として提供することが、今、中小企業向けシステムベンダーに期待されている。

6. ベンダーの新しい提供価値としてのサイバーアシュアランス

経産省/NCOガイドラインが示す通り、セキュリティ責任は「ユーザー」から「ソフトウェア製造者（ベンダー）」へとシフトしつつある。中小企業向けシステムベンダーにとって、ADICサイバーアシュアランスのような致命的操作ゲートを自社システムに実装することは、単なる追加のコスト要因ではない。「当社のシステムは、万が一アカウント情報が漏洩した場合でも、バックアップ破壊や不審なデータ流出を自動的に検知・抑止するゲートが組み込まれています」この実効的なアシュアランス（保証）は、これからのセキュリティ要件を満たすための重要な提供価値となる。日本の産業基盤を守るための現実解は、システムベンダーによるこうした設計パラダイムの転換にかかっている。