SPLAMILU BLOG ソラミルブログ

2026年7月17日
取引先が止まると、自社も止まる。「見えない依存」という事業継続リスク

「自社のシステムは、どこも壊れていない。なのに、商品が届かない――」。2026年7月、冷凍食品・低温物流大手のニチレイグループがサイバー攻撃によるシステム障害に見舞われ、冷蔵倉庫の入出庫や冷凍食品の出荷業務が停止しました。その影響は、ニチレイと取引のある飲食・小売の現場にまで広がったと報じられています。この出来事は、中小企業にとっても「取引先が止まると、自社も止まる」という事業継続リスクを、あらためて突きつけています。

本記事は番外編として、この出来事を「侵入を防げたか」ではなく「取引先が止まったとき、自社は立ち行くか」という角度から、SOLAMILUの視点でやさしく読み解きます。

何が起きたのか(公表されている事実の整理)

まず、公式リリースと報道で明らかになっている事実だけを、時系列で整理します。攻撃の詳細な手口については、ニチレイが「さらなる被害拡大を防ぐため」として公表を控えており、憶測は避けます。

  • 7月13日 早朝:システム障害を検知。同日中に対策本部を設置し、グループのシステムを遮断。第1報を公表し、不正アクセスによる障害であることを明らかにした。
  • 7月15日:第2報を発表。調査の結果、サーバーがサイバー攻撃を受けたことを確認。被害サーバーの一部に個人情報が保管されていたため、個人情報保護委員会へ報告した(漏えいの有無は調査中)。
  • 7月17日:冷蔵倉庫の入出庫業務と冷凍食品の出荷業務を、外部の専門会社と対策を講じたうえで順次再開する予定と公表。

※ 本記事は2026年7月17日時点の公表情報・報道に基づいています。攻撃の具体的な手口、ランサムウェアかどうか、個人情報流出の有無などは、いずれも調査が続いている段階です。SOLAMILUは原因や被害を断定するものではありません。最新の状況は必ずニチレイの公式発表でご確認ください。

本当の怖さは「自社は無傷でも、事業が止まる」こと

この出来事のポイントは、攻撃を直接受けたのは物流という機能を担う事業者だった、という点にあります。ニチレイと取引していた飲食・小売の各社は、自社のシステムに何の異常もないのに、モノが動かないことで営業に影響を受けたと報じられました。

取引先の停止が連鎖する仕組み 左のサイバー攻撃が中央の物流・委託先を停止させ、右側の複数の取引先(飲食・小売・自社)へ影響が波及する。取引先のシステムは無傷でも事業は止まる。 攻撃されたのは1社。止まったのは、その先の会社 サイバー攻撃 物流・委託先 (倉庫・出荷などの 機能を担う事業者) — 停止 — 取引先(飲食)品切れ・営業への影響 取引先(小売)冷凍食品の欠品 あなたの会社システムは無傷でも… 自社は無傷でも、事業は止まりうる
図:攻撃を受けたのは物流を担う事業者。その停止が取引先へ連鎖する

言い換えれば、自社の守りを完璧にしても、頼っている外部の機能が止まれば、事業は止まりうるということです。これは特別な業界の話ではありません。受発注や在庫管理のクラウド、決済サービス、通信回線、そして物流。現代の会社は、数多くの「外部の機能」に支えられて動いています。

よくある誤解:これは「サプライチェーン攻撃」とは少し違います。
本来のサプライチェーン攻撃は、取引先やソフトの提供元を”踏み台”にして、本命の組織へ侵入する手口を指します。一方で今回のように、取引先そのものが止まり、その停止が波及して自社の事業が滞るのは、侵入経路の問題というより「事業継続(BCP)」の問題です。混同しやすいのですが、分けて考えると、打つべき手が見えやすくなります。

なぜ、これが中小企業の問題なのか

「大企業どうしの話で、うちには関係ない」と感じるかもしれません。しかし、むしろ中小企業のほうが影響を受けやすい側面があります。

  • 依存が少数に集中している:利用しているクラウド・回線・委託先が限られているぶん、そのうちの1つが止まると代わりがなく、業務全体が止まりやすい。
  • 代替手段の準備が薄い:「止まったら、その間どうするか」を事前に決めていないと、いざというとき手が打てない。
  • “自社が狙われたか”だけでは守れない:攻撃されていなくても、頼っている先が止まれば影響は及ぶ。「うちは大丈夫」という前提そのものを見直す必要がある。

セルフチェック:あなたの会社は、どこに”預けて”いますか?

□ 受発注・会計・在庫などのクラウドが数日止まっても、業務を回せますか?
□ 物流・決済・主要な取引先が止まったときの、代替の手段や連絡先を決めていますか?
□ どの業務が、どの外部サービス・回線・機器に依存しているか、一覧にできますか?

ひとつでも「わからない」があれば、それは弱点ではなく、次に手をつける場所です。

まず何から始めるか──「依存の見える化」

大がかりな計画づくりの前に、まずやっておきたいのが「自社が何に依存しているか」を見えるようにすることです。見えていないものは、守ることも、代わりを用意することもできません。見える化には、大きく2つの方向があります。

事業継続の土台となる2つの見える化 外部依存の見える化と、自社内部のIT環境の見える化。この2つが事業継続とセキュリティの土台になる。 土台になる「2つの見える化」 1 外部への「依存」を洗い出す どの業務が、何に頼っているか 受発注・在庫のクラウド 通信回線・決済サービス 物流・外部委託先 → 止まったときの代替を考える出発点 2 自社内部のIT環境を把握する 何が、どこにつながっているか 社内NW → BCPとセキュリティ、両方の土台になる
図:外部への依存と、自社内部のIT環境。この2つを見えるようにすることが土台になる

1つ目は、外部への依存の見える化です。重要な業務が、どのクラウド・回線・委託先に支えられているかを一覧にします。そうすれば、「もしここが止まったら、その間どうするか」という代替手段を、落ち着いて考えられるようになります。停止したときに慌てて代わりを探すのと、あらかじめ決めておくのとでは、被害の大きさが変わります。

2つ目は、自社内部のIT環境の見える化です。社内にどんな機器があり、どこにつながっているか。この足元の把握は、事業継続だけでなく日々のセキュリティ対策の土台にもなります。通信そのものが止まったときの備えについては「通信が止まったら業務はどうなる?中小企業の通信BCP」、BCPの進め方全体は「BCP対策とは?中小企業が今すぐ取り組むべき5つのステップ」もあわせてご覧ください。

まとめ:今日からできる4つのこと

ニチレイの一件から中小企業が持ち帰れる教訓は、「侵入を防ぐ」だけでなく「止まっても立ち行くようにしておく」という視点です。次の流れを、一度ぐるりと回してみてください。

  • 取引先・委託先が止まるリスクを「自社ごと」として捉え直す
  • 重要な業務が、どの外部サービス・回線・機器に依存しているかを洗い出す
  • 止まったときの代替手段(別ルート・手作業の流れ・連絡先)を事前に決める
  • 自社内部のIT環境も見える化し、BCPとセキュリティの土台をつくる

取引先への具体的な向き合い方は「取引先からセキュリティ対応を求められたら」でも取り上げています。完璧を目指す必要はありません。まずは「うちは、何に頼って動いているのか」を確かめるところから始めてみてはいかがでしょうか。

事業継続の第一歩は、立派な計画づくりではなく、「自社が何に依存しているか」を見えるようにすることです。

SOLAMILUは、自社のネットワークとIT資産を見える化し、その土台づくりを支える仕組みです。

参考リンク(公式情報)

※リンク先は外部の公式サイトです(別タブで開きます)。内容は更新されることがあるため、最新情報は各公式ページでご確認ください。なお、本記事で触れた個別事案の詳細は、各社の公式発表・報道をご確認ください。

あわせて読みたい

BCP対策通信が止まったら業務はどうなる?中小企業の通信BCP BCP対策BCP対策とは?中小企業が今すぐ取り組むべき5つのステップ 業界動向取引先からセキュリティ対応を求められたら

「取引先が止まったら」を考える前に、まずは見える化から

自社の業務が、今どんなネットワークやIT資産に支えられているか。SOLAMILUなら、その把握(見える化)を無料で始められます。

無料でダウンロードする

この記事を書いた人

SOLAMILU編集部
名古屋発のITベンチャーとして、中小企業のネットワーク管理・セキュリティ・IT資産管理をやさしく解説しています。専門知識がなくても「自社のITの状態がわかる」状態づくりを応援します。

CONTACT US お気軽にお問合せください お問い合わせ・ご相談はこちら

お問い合わせ・ご相談はこちら
お気軽にお問合せください
電話でのお問合せはこちら

【受付時間】 月〜金 10:00〜17:00
( 土・日・祝日・弊社休業日を除く )

SOLAMILUをもっと知りたい方はこちら
top top