442社を対象に「サプライチェーンセキュリティに関する実態調査」を実施。相次ぐサイバー攻撃、大企業7割がセキュリティ不備で取引先を見直し――中小企業が気づかない"セキュリティ格差"
「予算がない」「交渉できない」「何をすべきかわからない」。中小企業を追い詰める"三重苦"と解決の糸口
ビジネス製品・サービスのオンライン比較サービス「ミツモア」を運営する株式会社ミツモア(本社:東京都中央区、代表取締役CEO:石川彩子)は、従業員1,000名以上の大企業(発注側)と中小企業(受注側)計442社を対象に、「サプライチェーンセキュリティに関する実態調査」を実施しました。
昨年に発生した大手企業を中心としたランサムウェア被害を受け、サプライチェーン攻撃への警戒が高まっています。本調査では、中小企業の6割以上が対策未実施である一方、大企業の約7割がセキュリティ不備を理由に何らかの取引見直しを実行している実態が明らかになりました。
【本調査のサマリー】
-
企業規模による「当事者意識」格差:サイバー攻撃を「よく知っている(内容まで把握)」割合は、大企業77.7%に対し中小企業はわずか29.4%。約50ポイントの差が「対岸の火事」意識を浮き彫りに。
-
認識の断絶: 大企業の約7割がセキュリティ不備で何らかの取引見直しを実行。しかし中小企業で「セキュリティが理由で取引が終わった」と認識しているのはわずか4.3%。セキュリティが取引に影響していることに気づけていない可能性。
-
行動の欠如: 中小企業の8割近くが「危機感あり」と回答しているが、「非常に強い危機感」を持つのは3割にとどまる(大企業は約7割)。6割超が未対策のまま。
-
三重苦: 中小企業がセキュリティ対策に動けない理由は「予算がない(31.3%)」「交渉できない(8.1%)」、そして根本原因である「何をすべきかわからない(11.4%)」の三重苦。
本調査のダウンロードはこちら:https://forms.gle/exSbrC5LggZsek5WA
中小企業の8割がサイバー攻撃の事例を知っているが、「当事者意識」は大企業の半分以下(29.4%)。「対岸の火事」意識が浮き彫りに
中小企業の81.0%が、昨今のサイバー攻撃事例を「知っている」と回答しました。しかし、「よく知っている(内容まで把握している)」と回答した割合は、大企業の77.7%に対し、中小企業はわずか29.4%。約50ポイントもの差があります。
さらに、「非常に危機感を感じた」と回答した割合も、大企業の65.6%に対し、中小企業は30.4%と半分以下にとどまりました。
多くの中小企業において「世の中で事件が起きているのは知っているが、うちは大丈夫だろう」という「対岸の火事(楽観バイアス)」意識が強く、これが対策への第一歩を阻んでいるように見受けられます。
「危機感はあるが動けない」。中小企業の7割超がセキュリティ対策未実施(72.2%)、実施率は大企業の約半分にとどまる
一方で、決してすべての中小企業が楽観視しているわけではありません。
回答者の約4割(39.8%)は、「自社のセキュリティリスクへの危機感はあるが、具体的な対策は何もできていない」と回答しています。
対策実施率を見ると、大企業の55.1%に対し、中小企業は27.8%。約半分の水準です。
「やらなければ、という焦りはある。しかし動けない…」調査からは、危機感を持った企業さえも足止めしてしまう、構造的な課題が浮かび上がりました。
※中小企業の未実施内訳:
・検討中だが未実施:27.1%
・危機感はあるが何もできていない:39.8%
・特に何も感じていない:5.3%
大企業の66.8%がセキュリティ不備で「取引見直し」を実行済み。しかし中小企業の認識はわずか4%で、知らぬ間に取引停止が起きていることが判明
本調査で注目すべき結果が、取引への影響に関する認識のズレです。
大企業の66.8%が、セキュリティ不備を理由に「契約停止や改善要求などの取引見直し」を実行したと回答しています。具体的には、「契約更新を見送った・停止した」が40.0%、「新規取引の提案・見積もりを断った」が26.4%にのぼります。
一方、中小企業において取引停止を経験した企業で理由として挙げられたのは「景気悪化(15.6%)」「価格競争(11.8%)」が上位で、「セキュリティ」はわずか4.3%にとどまりました。
この結果が示唆するのは、中小企業がセキュリティの影響に気づけていない可能性です。大企業側ではセキュリティを理由とした取引見直しが進んでいる一方、中小企業側ではセキュリティが取引に影響しているという認識が極めて低い——両者の間に「認識の断絶」が生じています。
【大企業側の声(自由回答より)】
大企業側も、一方的に取引を終わらせたいわけではありません。しかし、対話や支援を試みても改善が難しい状況に直面し、苦慮している声が寄せられています。
・「スキル不足並びに情報不足により、セキュリティ対策に踏みきれず、導入依頼を無償でして欲しいと要請された」(大企業)
・「PCの操作方法を説明しても、相手のスキルがなく話が通じない」(大企業)
・「サポート切れの古いパソコンを使用している。セキュリティの知識が足りない、対策を講じていない」(大企業)
リスク管理の観点から取引継続を断念せざるを得ない——大企業側にも「苦渋の決断」があることがわかります。
【原因】中小企業を追い詰める「三重苦」。予算・交渉・知識の壁
なぜ中小企業は対策できないのか。その背景には「予算」「交渉」「知識」という3つの壁が存在します。
【1. 予算の壁(31.3%)】
対策の最大の障壁として「予算不足(コスト)」を挙げた中小企業は31.3%にのぼりました。
「突然コスト負担を言われ経営的に無理だと感じたが、聞く耳をもたない姿勢だった」(中小企業・自由回答)
【2. 交渉の壁(8.1%)】
中小企業の8.1%が「契約を切られるのが怖くて交渉できない」と回答しています。
興味深いのは、大企業側の66.4%が「適正な転嫁であれば受け入れる」と回答している点です。
|
大企業:価格転嫁を受け入れるか |
回答率 |
|
適正な転嫁であれば受け入れる |
66.4% |
|
対策は義務であり転嫁は認めない |
25.0% |
|
値上げするなら他社に切り替える |
5.5% |
|
中小企業:値上げ交渉の経験 |
回答率 |
|
交渉し認められた経験がある |
7.6% |
|
交渉したが認められなかった |
5.7% |
|
契約を切られるのが怖くて交渉できない |
8.1% |
|
そもそも対策を求められたことがない |
73.9% |
交渉すれば受け入れられる可能性があるのに、交渉できていない——これも「認識の断絶」の一つです。
【3. 知識の壁(11.4%+29.9%)】
「何をしていいかわからない(11.4%)」と「専門知識の不足(29.9%)」を合わせると約4割に達し、予算不足(31.3%)を上回る最大のボトルネックとなっている可能性があります。
|
障壁 |
中小企業 |
|
予算不足(コスト) |
31.3% |
|
専門知識の不足 |
29.9% |
|
あてはまるものはない |
18.0% |
|
何をしていいかわからない |
11.4% |
特に「何をすべきかわからない」状態では、そもそも必要な予算額も、取引先への交渉材料も見えてきません。「わからない」が「予算確保」と「交渉」の両方を阻んでいる——これが三重苦の構造です。
解決の糸口:「予算・交渉」の壁は高いが、「知識」の壁は今日から越えられる
この三重苦を打破するにはどうすればよいのでしょうか。
「予算」や「交渉」の問題は一朝一夕には解決しません。しかし、「何をすべきかわからない」という課題は、今日からでも解決可能です。
【STEP 1】 まず「現状把握」から ― セキュリティの健康診断
まずは「自社にどんなリスクがあるか」「最低限必要な対策は何か」を知ることから始まります。これらを把握し、取引先に「現状を把握し、検討中です」と伝えられる状態を作るだけでも、説明責任を果たし、不意の取引停止リスクを減らすことができます。
ミツモアでは、中小企業が手軽に自社のセキュリティ状況を把握できる「中小企業のためのサイバー攻撃リスク診断 2026」を開発しました。専門知識がなくても、簡単な質問に答えるだけで、自社のリスクと必要な対策を把握することができます。
「中小企業のためのサイバー攻撃リスク診断 2026」:
https://meetsmore.com/product-services/utm/media/268555#_2026
【STEP 2】 低コストで始められる対策を知る
すべてを一度にやる必要はありません。以下のような対策は、コストをかけずに始められます。
-
パスワード管理の見直し(使い回しをやめる)
-
従業員への注意喚起(不審メールの見分け方など)
-
重要データのバックアップ確認
-
OSやソフトウェアのアップデート確認
「予算がないから何もできない」ではなく、「予算がなくてもできることから始める」。この姿勢が、取引先からの信頼につながります。
【STEP 3】 補助金・政策を活用する
セキュリティ対策ツールの導入には、「IT導入補助金」などの補助金を活用できる場合があります。費用負担を抑えながら、必要なツールを導入することが可能です。
また、2025年12月に経済産業省が発表した「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」など、サプライチェーン全体のセキュリティ向上を目指す国の動きも加速しています。この制度では「★3(最低限の対策レベル)」という段階的な評価基準が設けられる予定であり、まずはこのレベルを目指すことが、中小企業にとっての具体的な指針となります。
参考:「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))について|経済産業省
調査概要
調査期間:2025年12月25日~12月27日
調査対象:
【A群】従業員1,000名以上の企業にお勤めで、発注業務に関わる方(221名)
【B群】中小企業(従業員300名以下)の経営者・役員・担当者(221名)
調査方法:インターネット調査
本調査のダウンロードはこちら:https://forms.gle/exSbrC5LggZsek5WA
記事等でのご利用にあたって
本リリースの内容を転載・引用される際は、以下のご対応をお願いいたします。
-
引用元が「株式会社ミツモア」である旨の記載
-
ウェブサイトで使用する場合は、出典元として、下記リンクを設置してください
関連する主なビジネスサービス
-
セキュリティ診断サービス:https://meetsmore.com/product-services/security-assessment
-
UTM(統合脅威管理):https://meetsmore.com/product-services/utm
-
IDaaS(ID管理システム):https://meetsmore.com/product-services/idaas
-
標的型攻撃メール訓練サービス:https://meetsmore.com/product-services/attack-mail-training
-
MDM(モバイル端末管理):https://meetsmore.com/product-services/mobile-device-management
オンライン比較サービス「ミツモア」について
「ミツモア」は、自社に最適なビジネス製品・サービスを簡単に比較・選定できる、日本最大級のオンライン比較サービスです。
業種や求める機能を画面上で選択するだけで、最短1分で最大5つの最適な製品・サービスを自動で絞り込み、比較表で機能や料金を一覧化できます。ビジネス向けには会計ソフト、業務管理ツール、IT導入支援、マーケティング支援など、300を超えるサービスにおいて、3,500以上の製品、2,700以上の事業者を比較検討することが可能です。
製品理解から比較、そして依頼・導入までをスムーズに進めることができ、ビジネスのDX推進やコスト最適化をサポートします。
「ミツモア」サービスサイト:https://meetsmore.com/product-services
株式会社ミツモアについて
サービス産業の生産性向上を通じて、ミッションである「日本のGDPを増やし 明日がもっといい日になると思える社会に」の達成を目指すスタートアップ企業です。
2017年2月創業以来、オンラインで見積もり比較から受発注までワンストップで完結するサービス「ミツモア」や、現場業界特化のオールインワンSaaSサービス「プロワン」を開発・提供をしています。
経済産業省主催の「日本スタートアップ大賞2023」にて経済産業大臣賞(ダイバーシティ賞)を受賞。また週刊東洋経済が主催する「すごいベンチャー100」2023年版にも選出されました。
ミツモア公式HP:https://company.meetsmore.com/
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
