「自社のシステムは、どこも壊れていない。なのに、商品が届かない――」。2026年7月、冷凍食品・低温物流大手のニチレイグループがサイバー攻撃によるシステム障害に見舞われ、冷蔵倉庫の入出庫や冷凍食品の出荷業務が停止しました。その影響は、ニチレイと取引のある飲食・小売の現場にまで広がったと報じられています。この出来事は、中小企業にとっても「取引先が止まると、自社も止まる」という事業継続リスクを、あらためて突きつけています。
本記事は番外編として、この出来事を「侵入を防げたか」ではなく「取引先が止まったとき、自社は立ち行くか」という角度から、SOLAMILUの視点でやさしく読み解きます。
何が起きたのか(公表されている事実の整理)
まず、公式リリースと報道で明らかになっている事実だけを、時系列で整理します。攻撃の詳細な手口については、ニチレイが「さらなる被害拡大を防ぐため」として公表を控えており、憶測は避けます。
- 7月13日 早朝:システム障害を検知。同日中に対策本部を設置し、グループのシステムを遮断。第1報を公表し、不正アクセスによる障害であることを明らかにした。
- 7月15日:第2報を発表。調査の結果、サーバーがサイバー攻撃を受けたことを確認。被害サーバーの一部に個人情報が保管されていたため、個人情報保護委員会へ報告した(漏えいの有無は調査中)。
- 7月17日:冷蔵倉庫の入出庫業務と冷凍食品の出荷業務を、外部の専門会社と対策を講じたうえで順次再開する予定と公表。
※ 本記事は2026年7月17日時点の公表情報・報道に基づいています。攻撃の具体的な手口、ランサムウェアかどうか、個人情報流出の有無などは、いずれも調査が続いている段階です。SOLAMILUは原因や被害を断定するものではありません。最新の状況は必ずニチレイの公式発表でご確認ください。
本当の怖さは「自社は無傷でも、事業が止まる」こと
この出来事のポイントは、攻撃を直接受けたのは物流という機能を担う事業者だった、という点にあります。ニチレイと取引していた飲食・小売の各社は、自社のシステムに何の異常もないのに、モノが動かないことで営業に影響を受けたと報じられました。
言い換えれば、自社の守りを完璧にしても、頼っている外部の機能が止まれば、事業は止まりうるということです。これは特別な業界の話ではありません。受発注や在庫管理のクラウド、決済サービス、通信回線、そして物流。現代の会社は、数多くの「外部の機能」に支えられて動いています。
よくある誤解:これは「サプライチェーン攻撃」とは少し違います。
本来のサプライチェーン攻撃は、取引先やソフトの提供元を”踏み台”にして、本命の組織へ侵入する手口を指します。一方で今回のように、取引先そのものが止まり、その停止が波及して自社の事業が滞るのは、侵入経路の問題というより「事業継続(BCP)」の問題です。混同しやすいのですが、分けて考えると、打つべき手が見えやすくなります。
なぜ、これが中小企業の問題なのか
「大企業どうしの話で、うちには関係ない」と感じるかもしれません。しかし、むしろ中小企業のほうが影響を受けやすい側面があります。
- 依存が少数に集中している:利用しているクラウド・回線・委託先が限られているぶん、そのうちの1つが止まると代わりがなく、業務全体が止まりやすい。
- 代替手段の準備が薄い:「止まったら、その間どうするか」を事前に決めていないと、いざというとき手が打てない。
- “自社が狙われたか”だけでは守れない:攻撃されていなくても、頼っている先が止まれば影響は及ぶ。「うちは大丈夫」という前提そのものを見直す必要がある。
セルフチェック:あなたの会社は、どこに”預けて”いますか?
□ 受発注・会計・在庫などのクラウドが数日止まっても、業務を回せますか?
□ 物流・決済・主要な取引先が止まったときの、代替の手段や連絡先を決めていますか?
□ どの業務が、どの外部サービス・回線・機器に依存しているか、一覧にできますか?
ひとつでも「わからない」があれば、それは弱点ではなく、次に手をつける場所です。
まず何から始めるか──「依存の見える化」
大がかりな計画づくりの前に、まずやっておきたいのが「自社が何に依存しているか」を見えるようにすることです。見えていないものは、守ることも、代わりを用意することもできません。見える化には、大きく2つの方向があります。
1つ目は、外部への依存の見える化です。重要な業務が、どのクラウド・回線・委託先に支えられているかを一覧にします。そうすれば、「もしここが止まったら、その間どうするか」という代替手段を、落ち着いて考えられるようになります。停止したときに慌てて代わりを探すのと、あらかじめ決めておくのとでは、被害の大きさが変わります。
2つ目は、自社内部のIT環境の見える化です。社内にどんな機器があり、どこにつながっているか。この足元の把握は、事業継続だけでなく日々のセキュリティ対策の土台にもなります。通信そのものが止まったときの備えについては「通信が止まったら業務はどうなる?中小企業の通信BCP」、BCPの進め方全体は「BCP対策とは?中小企業が今すぐ取り組むべき5つのステップ」もあわせてご覧ください。
まとめ:今日からできる4つのこと
ニチレイの一件から中小企業が持ち帰れる教訓は、「侵入を防ぐ」だけでなく「止まっても立ち行くようにしておく」という視点です。次の流れを、一度ぐるりと回してみてください。
- 取引先・委託先が止まるリスクを「自社ごと」として捉え直す
- 重要な業務が、どの外部サービス・回線・機器に依存しているかを洗い出す
- 止まったときの代替手段(別ルート・手作業の流れ・連絡先)を事前に決める
- 自社内部のIT環境も見える化し、BCPとセキュリティの土台をつくる
取引先への具体的な向き合い方は「取引先からセキュリティ対応を求められたら」でも取り上げています。完璧を目指す必要はありません。まずは「うちは、何に頼って動いているのか」を確かめるところから始めてみてはいかがでしょうか。
事業継続の第一歩は、立派な計画づくりではなく、「自社が何に依存しているか」を見えるようにすることです。
SOLAMILUは、自社のネットワークとIT資産を見える化し、その土台づくりを支える仕組みです。
参考リンク(公式情報)
※リンク先は外部の公式サイトです(別タブで開きます)。内容は更新されることがあるため、最新情報は各公式ページでご確認ください。なお、本記事で触れた個別事案の詳細は、各社の公式発表・報道をご確認ください。
あわせて読みたい
BCP対策通信が止まったら業務はどうなる?中小企業の通信BCP › BCP対策BCP対策とは?中小企業が今すぐ取り組むべき5つのステップ › 業界動向取引先からセキュリティ対応を求められたら ›「取引先が止まったら」を考える前に、まずは見える化から
自社の業務が、今どんなネットワークやIT資産に支えられているか。SOLAMILUなら、その把握(見える化)を無料で始められます。
