GXO
セキュリティ

ニチレイのサイバー攻撃で学ぶ「自社は無傷でも事業が止まる」構造|取引先起点の供給停止に耐える需要側BCPと発注側チェックリスト10項目

24分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

セキュリティ

最初に結論を置く。今回のニチレイの事案から経営者が持ち帰るべき教訓は、「大手でも攻撃される。うちも防御を固めよう」ではない。自社が一切攻撃されていなくても、取引先が止まれば自社の事業は止まる——この構造を自社のBCP(事業継続計画)に織り込んでいる会社が、日本の中堅・中小にはほとんど存在しない、という事実だ。

ニチレイグループは2026年7月13日にシステム障害を公表し、7月15日にサイバー攻撃を受けたことを確認したと公表、7月17日から冷蔵倉庫の入出庫と冷凍食品の出荷を一部制限つきで順次再開した。全拠点での通常稼働は「来週中」を目指すとしている(いずれもニチレイ公式リリース)。この間、報道によれば、ケンタッキーフライドチキン(KFC)の店舗での品切れやメニュー制限、イオン店頭での冷凍食品の欠品、くら寿司の一部店舗への配送遅延など、影響はニチレイの外側へ広く波及した。攻撃を受けたのは1グループ。棚が欠けたのは、その取引網の先にある無数の店だ。

自社が無傷でも止まる以上、打ち手は「守りを固める」だけでは足りない。必要なのは、(1)主要取引先が止まった場合の耐用日数を業務ごとに把握すること、(2)受発注・在庫・出荷の代替手順をシステム停止前提で設計しておくこと、(3)取引先の非常時対応力を、契約と質問によって事前に確認しておくこと——の3点である。本記事はこの3点を、時系列の事実整理、公表文の読み方、被害前チェックリスト10項目、FAQという形に落として解説する。

誰のための記事か

この記事は、セキュリティ担当者向けの技術解説ではない。次のような立場の読者を想定している。

  • 食品・物流・製造・小売で、大手の取引網の中に組み込まれている中堅企業の経営者・事業責任者
  • 仕入先・物流委託先・OEM先など「1社に依存している供給ライン」を持つ調達・購買の責任者
  • 自社のBCPが「地震・水害」前提で書かれており、取引先のサイバー起因停止を想定していないことに心当たりがある管理部門
  • 専任の情シスがおらず、「取引先が止まったらどうするか」を考える担当が社内に存在しない会社

逆に、「ニチレイの攻撃手口の詳細を知りたい」という読者には応えられない。後述するとおり、攻撃の詳細はニチレイ自身が意図的に開示していないからだ。むしろ本記事では、その「開示されない公表文」をどう読み、自社の行動にどう変換するかを扱う。

FREE DOWNLOAD

中小企業のDX推進「失敗を防ぐ5ステップ」ガイドを無料でお送りします

多くの企業がつまずくポイントを着手順に整理した無料ガイド。相談する前に、自社の現在地と進め方を掴めます。

5ステップガイドを無料でダウンロード

何が起きたか——公式リリース3本の時系列

まず事実関係を、ニチレイ公式のニュースリリース(第1報〜第3報)を軸に整理する。攻撃の内容に関する記述は公式原文が唯一の一次情報であり、取引先への影響は各報道に基づく二次情報である。この区別は表の「情報源」列に明記した。

横にスクロールして確認できます

日付出来事情報源
7月13日ニチレイグループが「不正アクセスによるシステム障害」を公表(第1報)。影響業務はニチレイロジグループ各社の冷蔵倉庫入出庫業務と、ニチレイフーズの冷凍食品出荷業務。影響は国内に限定。個人情報や顧客データの社外流出は「確認されていない」(調査継続)ニチレイ公式(第1報)
7月14日〜15日KFC店舗での品切れ・販売メニュー制限の可能性、イオン店頭での冷凍食品の一部欠品、くら寿司の関西の一部店舗への配送遅延・未着、井村屋・テーブルマーク等の出荷影響が相次いで報じられる各社発表・報道(二次)
7月15日サーバがサイバー攻撃を受けたことを確認したと公表(第2報)。被害サーバの一部に個人情報が保管されていたため、「漏えいの可能性がある事案」として個人情報保護委員会に報告。攻撃の詳細は「さらなる被害の拡大を防ぐため」開示を差し控えると明記。外部セキュリティ専門会社と安全対策を講じたうえで、7月17日からの業務再開を予告ニチレイ公式(第2報)
7月17日冷蔵倉庫入出庫・冷凍食品出荷業務を順次再開(第3報)。受発注は「一部制限したうえで」の部分稼働。全拠点での通常稼働は「来週中」を目指す。原因・影響範囲は引き続き調査中ニチレイ公式(第3報)

この時系列から読み取るべきポイントは3つある。

第一に、「障害公表」から「サイバー攻撃確認の公表」まで2日かかっている。これは対応が遅いという話ではない。フォレンジック調査で攻撃の証拠を確定させるには時間がかかるのが普通であり、確定前に「攻撃です」と言えば誤報リスクを、黙っていれば隠蔽批判を負う。第1報を「不正アクセスによるシステム障害」という表現で即日出したのは、確定できた範囲だけを速く出す開示判断として筋が通っている。取引先の立場では、「第1報の時点で攻撃の可能性を織り込んで動き始めるべきだった」ことを意味する。

第二に、停止から再開開始まで4日、全面復旧までは1週間超の見込みだという点だ。ニチレイほどの体制と外部専門会社の支援があっても、この日数である。自社の主要仕入先が同じ状況になったとき、4日〜10日程度の供給断絶を前提に自社の在庫と代替手段を考えられるか。これが本記事の中心的な問いになる。

第三に、再開は「一部制限つきの部分稼働」から始まるという点だ。復旧は0か100かではない。受発注の制限、優先順位づけされた出荷、縮退運転が段階的に続く。つまり取引先の側から見ると、「再開しました」の報を受けた後も、自社への納品が平常化するまでにはさらにラグがある。BCPの想定停止期間は「公表された復旧日」ではなく「自社への供給が平常化する日」で引くべきである。

「詳細は開示を差し控える」公表文の読み方

第2報でニチレイは、サイバー攻撃の詳細について「さらなる被害の拡大を防ぐため、情報開示を差し控える」と明記した。ランサムウェアなのか、侵入経路は何か、身代金要求はあったのか——いずれも公表されていない。SNSではこの種の非開示公表文に対して「隠している」という反応が定番だが、取引先企業の実務としては、その読み方は間違いだ。

被害企業が攻撃詳細を伏せるのには合理的な理由がある。攻撃者との対峙が継続している段階で手口や対応状況を公開すれば、攻撃者に手の内を明かすことになる。また、侵入経路が確定する前に推測を公表すれば、後で訂正することになり、かえって信頼を損なう。警察や監督官庁との調整、フォレンジック中の証拠保全という制約もある。攻撃詳細の非開示それ自体は、対応が不誠実であることを意味しない。

では取引先として公表文の何を見るべきか。見るべきは攻撃の技術的詳細ではなく、自社の行動判断に必要な変数が書かれているかである。具体的には次の4点だ。

  1. 影響業務の範囲——自社との取引に関係する業務(受注、出荷、物流)が影響業務に含まれているか。ニチレイの第1報は「冷蔵倉庫入出庫」「冷凍食品出荷」と業務単位で特定しており、取引先はここから自社影響を推定できた。
  2. 再開見込みの有無と粒度——「復旧に努めます」だけか、日付と段階(順次・一部制限)が書かれているか。日付が書けない段階の公表は、それだけ調査が初期段階であることを示す。
  3. 個人情報・取引データの扱い——「流出は確認されていない」と「流出はなかった」は別の文である。前者は調査途中の暫定表現であり、後日「漏えいの可能性」に変わり得る。実際、ニチレイも第1報の「確認されていない」から、第2報では被害サーバに個人情報が保管されていたことを踏まえ個人情報保護委員会への報告に進んだ。自社が取引先に渡している情報(担当者連絡先、口座、取引条件)が対象になり得るかは、この行間から自社側で仮説を立てるしかない。
  4. 窓口の指定——障害中の受発注・問い合わせをどこに投げるべきかが示されているか。示されていなければ、営業担当個人への電話が輻輳し、正確な情報が取れなくなる。

言い換えると、非開示の公表文は「読んで安心するための文書」ではなく、「自社の初動のトリガーとして使う文書」である。第1報の段階で影響業務に自社取引が含まれていたら、詳細の続報を待たずに自社側のBCPを起動する——これが正しい使い方だ。

FREE DOWNLOAD

中小企業のDX推進 5ステップガイド

多様な企業の導入実績から抽出した、失敗を防ぐDX推進の5つのステップを継続解説。

なぜ「自社は無傷」でも止まるのか——3つの伝播経路

取引先のサイバー被害が自社の事業停止に変換される経路は、整理すると3つある。自社のBCPがどの経路まで想定できているかを、この機会に点検してほしい。

経路1: モノの供給停止。 最も分かりやすい経路だ。仕入先の生産・出荷が止まれば、自社の製造・販売が在庫の尽きた時点で止まる。今回の事案で店頭欠品として顕在化したのはこの経路である。重要なのは、止まったのが「工場」ではなく「倉庫と出荷のシステム」だった点だ。モノは物理的に存在していても、入出庫を管理するシステムが止まれば、どのパレットに何があるかを特定できず、出荷伝票も切れず、実質的に出せない。現代の供給停止は、物理の停止よりシステムの停止で起きる。

経路2: 受発注・データ連携の停止。 EDI、発注ポータル、API連携など、取引先のシステムと自社のシステムがつながっている場合、相手の停止は自社の業務プロセスの停止に直結する。発注が送れない、入荷予定データが来ないため自社倉庫の作業計画が組めない、請求・支払データの突合ができない——という形で、モノが動いていても事務が止まる。さらに見落とされがちなのが逆方向のリスクで、取引先が「侵害された状態」でつながり続けることは、自社への攻撃の踏み台になり得る。取引先の被害公表を受けて自社側で最初にやるべきことの一つは、その取引先とのシステム接続点(VPN、専用線、API、共有アカウント)の棚卸しと、必要に応じた一時遮断の判断である。

経路3: 情報とヒトの停止。 取引先の担当者がインシデント対応に忙殺され、連絡がつかなくなる。メールが使えず電話も輻輳する。自社の顧客からは「おたくの商品はいつ入るのか」と問い合わせが殺到するのに、上流から正確な情報が取れない。この「情報の空白」の間に、現場が善意で不正確な納期回答をしてしまい、後日クレームに転じる——というのが典型的な二次被害だ。供給が止まること自体より、止まっている間の顧客コミュニケーションの失敗のほうが、取引関係に長期的な傷を残すことが多い。

この3経路を見れば分かるとおり、取引先起点の停止への備えは、セキュリティ部門の仕事ではなく、調達・営業・物流・経営を横断する事業設計の仕事である。だからこそ「セキュリティはうちには関係ない」と思っている会社ほど、無防備になる。

被害前チェックリスト——取引先が止まる前に確認しておく10項目

以下は、取引先がサイバー起因で停止する事態を想定して、平時に確認しておくべき項目を発注側(需要側)の視点で10項目に整理したものだ。自社の主要取引先の上位5社程度を思い浮かべながら、Yes/Noで答えてほしい。Noが4つ以上あれば、自社のBCPは「自社が攻撃されたら」しか見ていない可能性が高い。

  1. 依存度の可視化: 仕入・物流・業務委託のうち、「この1社が止まると売上の10%以上に影響する」取引先をリストアップできているか。
  2. 耐用日数の把握: その取引先が7日間止まった場合、自社の在庫・仕掛かりで何日持つかを、主要品目ごとに即答できるか。
  3. 代替手段の事前特定: 代替仕入先・代替物流ルートを、非常時に「探し始める」のではなく、平時に候補と概算条件まで特定してあるか。
  4. 接続点の台帳: その取引先と自社のシステム接続(EDI、VPN、API、共有ストレージ、貸与アカウント)を一覧化しており、非常時に遮断する手順と判断者が決まっているか。
  5. 紙・電話への縮退手順: 受発注システムが使えない場合に、FAX・電話・表計算で受発注を回す縮退手順が文書化され、直近1年以内に一度でも試したことがあるか。
  6. 連絡経路の二重化: 取引先の非常時連絡窓口(営業担当個人ではなく組織としての窓口)を把握しているか。逆に、自社が止まったときに取引先へ一斉連絡する手段を持っているか。
  7. 契約上の手当: 基本契約に、システム障害・サイバー事案時の通知義務、納期遅延の取り扱い、損害の分担に関する条項があるか(なければ次回更新時の論点にする)。
  8. 顧客向け説明の準備: 上流停止時に自社の顧客へ出す案内文の雛形(分かっていること・分からないこと・次報時期の3点構成)を用意してあるか。
  9. 自社が渡している情報の把握: その取引先に自社のどんな情報(担当者個人情報、口座、図面、価格表)を渡しているかを把握しており、相手の漏えい公表時に自社への影響を即座に評価できるか。
  10. 取引先への事前質問: 新規・更新の取引時に、相手のバックアップ体制・インシデント時の通知方針・復旧目標について、質問票レベルでも確認する運用があるか。

10項目に共通するのは、どれも技術ではなく段取りと合意だという点だ。ファイアウォールの性能は関係ない。必要なのは、リスト、台帳、雛形、契約条項、そして年に一度の訓練である。つまり、予算の大小ではなく、経営が「取引先起点の停止」を正式なリスクとして認めるかどうかだけで決まる。

なお、この10項目は攻撃の種類を問わず有効だが、ランサムウェアの暗号化速度が上がりパッチ適用や初動の時間的猶予が縮んでいる環境変化については、AI時代の高速パッチ適用とBCPの考え方で別途整理している。自社側の防御の時間軸と、本記事の需要側BCPは、車の両輪として読んでほしい。

耐性を上げる3つの設計——在庫・受発注・情報

チェックリストでNoが並んだ会社が次に取り組むべき設計を、優先度順に3つ挙げる。

設計1: 在庫と調達の「意図的な非効率」を経営判断にする。 ジャストインタイムと在庫圧縮は平時の正義だが、サイバー起因の供給断絶は数日〜数週間単位で起こり、地震と違って発生地域を選ばない。重要品目に限って安全在庫を積む、二社購買に切り替える——これらはコスト増であり、現場判断では絶対に通らない。だからこそ「どの品目に、いくらの保険料(在庫・複線化コスト)を払うか」を経営会議の議題に上げる必要がある。全品目でやる必要はない。チェックリスト1番の「売上10%以上」の取引先に絞れば、対象は驚くほど少ない。

設計2: 受発注・在庫システムに「相手が止まる」前提の逃げ道を作る。 自社の基幹システムや受発注システムが取引先とのデータ連携を前提に組まれている場合、相手の停止時に手入力へ切り替えられるか、入荷予定なしでも在庫引当が回るか、という縮退モードの有無が耐性を分ける。既存システムの改修や、EDI依存業務のバックアップ経路(簡易フォーム、CSV取込)の追加は、フルリプレイスに比べればはるかに小さい投資でできることが多い。自社のシステムがどこまで「相手あり前提」で組まれているかの棚卸しは、DX成熟度診断のような第三者の目を一度入れると、社内では見えない依存が浮かび上がる。

設計3: 情報の初動を仕組み化する。 取引先の被害公表を検知してから最初の24時間にやることを、あらかじめ番号つきの手順にしておく。(1)公表文から影響業務と自社取引の重なりを判定、(2)システム接続点の遮断要否を判断、(3)在庫・代替の耐用日数を確認、(4)顧客向け第一報の発出、(5)次報のタイミング宣言——この5ステップだけでも文書化してあれば、現場は「何をすべきか」ではなく「手順のどこまで進んだか」を議論できる。逆にこれがないと、初動の24時間が「誰が電話するか」の調整で溶ける。

この3つの設計は、自社が攻撃された場合の対応計画と地続きである。取引先起点のシナリオで訓練をしておくと、自社起点のインシデント対応の穴(連絡網の古さ、判断者の不在、広報文の未整備)も同時に露呈する。自社起点・取引先起点の両シナリオを通しで点検したい場合は、インシデント対応支援の枠組みで、発生前の体制構築から発生時の対応までを一貫して設計できる。

FAQ——取引先のサイバー被害をめぐる実務の疑問

Q1. 取引先がサイバー攻撃を受けたと公表した。まず何を確認すべきか。

順番は3つ。第一に、公表された影響業務と自社取引の重なり(自社向けの出荷・受注・物流が含まれるか)。第二に、その取引先と自社のシステム接続点の有無と遮断要否——相手の環境が侵害されている間、つながり続けるリスクを評価する。第三に、自社がその取引先に渡している情報の棚卸し——相手の漏えい調査の結果次第で、自社の顧客・従業員情報が対象になる可能性を先に洗っておく。供給への影響試算はその次でよい。最初の数時間で効くのは、接続と情報の2点だ。

Q2. 取引先に「セキュリティ対策はどうなっていますか」と聞くのは失礼ではないか。

聞き方の問題である。「対策していますか」という漠然とした質問は答えようがなく、関係も損ねる。実務的なのは、取引開始・契約更新のタイミングで、(1)インシデント発生時に何時間以内に通知してもらえるか、(2)復旧目標時間の目安、(3)自社が預けているデータのバックアップと保管場所——の3点に絞って書面で確認することだ。これは相手を疑う行為ではなく、双方のBCPの前提条件をすり合わせる行為であり、大手はむしろ同じことをこちらに要求してくる。中堅企業こそ、要求される側から要求する側に回るべきだ。

Q3. 自社は下請の立場で、逆に「発注元から突然セキュリティ対応を要求される」側だ。何をすればよいか。

今回のような事案が起きるたびに、大手はサプライチェーン管理を強化し、取引先への質問票・監査は増える方向にある。受け身で1件ずつ回答していると毎回消耗するので、自社のバックアップ体制・アカウント管理・インシデント時の連絡体制を一度文書に整理し、どの質問票にも同じ土台で答えられる状態を作るのが結果的に最も安い。この整理は営業資料にもなる——「セキュリティ体制を説明できる下請」は選別の局面で残るからだ。体制整備を継続的に回す手が社内にない場合は、セキュリティ顧問(リテイナー)のように外部で継続伴走する形も選択肢になる。

Q4. BCPは地震想定で作ってある。サイバー版を別に作るべきか。

別冊にする必要はないが、地震想定の流用では機能しない箇所が3つある。(1)発生の非対称性——地震は全員が被災を認知するが、サイバーは取引先だけが止まり、しかも初期は原因も復旧見込みも不明のまま進む。(2)期間——停電・交通は数日で目処が立つことが多いが、サイバーは調査に週単位を要し、復旧後も部分稼働が続く。(3)システムの信頼性——地震ではシステムは「使えれば使う」だが、サイバーでは「動いていても信用してよいか」の判定が要る。既存BCPにこの3点の差分を追記するのが現実的だ。

この事案を「自社ごと」にすべきサイン

以下のいずれかに当てはまる会社は、ニチレイの事案を対岸の火事ではなく、自社のリスクの予告編として扱うべきだ。

  • 売上の1割以上を左右する仕入先・物流委託先・システム委託先が特定の1社に集中しており、その会社が1週間止まった場合の影響を試算したことがない
  • 取引先とのEDI・データ連携があるのに、接続点の一覧が存在しない、または遮断の判断者が決まっていない
  • 受発注が完全にシステム前提になっており、紙と電話で1日分の業務を回す訓練を一度もしたことがない
  • 大手の取引網に入っており、発注元からセキュリティ質問票が届き始めているが、回答が毎回その場しのぎになっている
  • BCPは存在するが、最終更新が2年以上前で、サイバー起因のシナリオが1行もない

これらのサインは、放置しても平時は何も起きない。だからこそ後回しになり、事が起きた日に一気に請求書として届く。自社の現在地を第三者の目で棚卸しするところから始めたい場合は、セキュリティ診断・支援の全体像から自社に合う入口を確認できる。

まとめ——BCPの主語を書き換える

ニチレイの事案は、幸いにも公表から4日で再開が始まり、公式リリースによる段階的な情報開示も一定の水準で行われた。しかしその4日間で、取引網の末端では棚が欠け、納品が遅れ、無数の会社が「上流が止まったとき、うちは何も決めていなかった」ことに気づいたはずだ。

BCPの主語を「自社が攻撃されたら」から「取引先が止まったら」へ広げること。耐用日数・接続点・縮退手順・契約・顧客説明の10項目を平時に埋めること。在庫・受発注・情報の3つの設計に、身の丈の投資をすること。このどれもが、高度なセキュリティ技術を必要としない。必要なのは、経営がこれを「セキュリティの話」ではなく「事業の話」として引き取ることだけだ。

GXOは、システム開発とセキュリティの両面から、取引先起点のシナリオを含むインシデント対応体制の構築、受発注・在庫システムの縮退設計、BCPの実効性点検を支援している。「うちのBCPはサイバーに耐えるのか」「まず何から手をつけるべきか」という段階の相談で構わない。お問い合わせから、現状の共有だけでも寄せてほしい。止まってから探す代替手段に、間に合うものは少ない。


参考ソース

※取引先(KFC・イオン・くら寿司・井村屋・テーブルマーク等)への影響は各社発表・報道に基づく二次情報であり、ニチレイ公式リリースには記載されていない。攻撃の手口・侵入経路・漏えいの確定状況は本稿執筆時点(2026年7月18日)で非公表・調査中である。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK