アシュアードは2025年7月28日、「取引先企業のセキュリティ評価」に関する実態調査の結果を発表した。この調査は、従業員1000人以上を抱える企業の情報システム、セキュリティ部門の担当者を対象に実施し、300人から有効回答を得た。

高度化、巧妙化するサイバー攻撃から社内のシステムやデータを守るため、企業はさまざまなセキュリティ対策を実施している。一方、取引先企業など“社外”を経由して深刻なセキュリティ被害に遭うケースも目立ちつつある。

調査結果によると、64％の企業で取引先企業を起因とした情報漏えいが発生、もしくは発生する可能性があったことが明らかになった。情報漏えいが発生した原因については「取引先企業のシステムが、ランサムウェア（身代金要求型マルウェア）を含むマルウェアに感染した」が最も多く、26.3％（複数回答、以下同）だった。次いで「取引先企業のシステムを経由して自社システムでサイバー攻撃やマルウェア感染が発生した」（25.3％）、「取引先企業のシステムで脆弱（ぜいじゃく）性を悪用されたサイバー攻撃」（22.3％）などが挙がった。

さらに、55.3％の企業が「取引先企業を起因とした業務停止や遅延」を経験していた。具体的な事案としては、「取引先企業のシステムがランサムウェア含むマルウェアに感染し、システム停止に伴う自社の業務停止や遅延などの影響が発生した」（29.7％）、「取引先企業のシステムで計画外停止や障害が発生し、システム停止に伴う自社の業務停止や遅延などの影響が発生した」（23.3％）などが挙がった。

こうした背景から取引先企業のセキュリティ評価を実施する企業もある。調査結果によると、セキュリティ評価を「新規契約時、契約後も定期的に実施している」と答えた企業は73.3％で、「新規契約時のみ実施している」と答えた企業と合わせると85.6％の企業が取引先企業のセキュリティ評価を実施していることが分かった。アシュアードによるとリスク管理体制の強化または見直しの動きも活発化しており、27.3％の企業が「直近で管理体制を強化した」と回答し、44.7％の企業が「管理体制を強化していく予定」と回答した。