COLUMNロジザード ノウハウ EC・物流コラム

物流やEC(ネットショップ)、在庫管理に関連したロジザードのオリジナルコラムです。
在庫管理の基本的な方法から効率化するポイントをロジザードのノウハウ、ロジザードの視点でご紹介します。

最終更新日:2026/04/23 EC・通販事業者インタビュー・見学システムメーカー・製造業運輸業・倉庫業(3PL事業者)

「出荷絶対」を支えるセキュリティ戦略 ~「SOC2 Type2報告書」取得に込めたロジザードの想い~

「出荷絶対」を支えるセキュリティ戦略 ~「SOC2 Type2報告書」取得に込めたロジザードの想い~

近年、ランサムウェア攻撃によって物流機能が停止し、甚大な被害をもたらす事例が相次いでいます。被害額が10億円を超えるケースも報告されており、サイバー攻撃は事業継続を脅かす重大な経営リスクとなっています。物流DXの進展に伴い、倉庫管理システム(WMS)は物流を支える重要なインフラへと進化する一方、サイバー攻撃や障害による物流停止リスクが顕在化し、一層強固な備えが求められています。
こうした中、クラウドWMS「ロジザードZERO」はセキュリティ強化を推進し、2026年1月、国産クラウドWMSでは初となる「SOC2 Type2報告書」を取得しました。製品サービス部 CTO 部長の佐藤元紀が、「SOC2 Type2報告書」を取得した理由や、物流システムに求められるセキュリティのあり方について語りました。

目次
  1. なぜ今、物流業界でセキュリティ対策が急務なのか
  2. "止まる怖さ"を知るからこそ、泥臭く現場を見据えた設計に徹する
  3. 「攻撃されない」だけでは不十分。業界に先駆けて「SOC2 Type2報告書」取得に挑戦
  4. ISMSやPマークと何が違う? SOC2の評価ポイントとは
  5. RPAの通信も遮断!? 「SOC2 Type2報告書」取得の舞台裏
  6. セキュリティ投資はコストではなく「攻めの武器」
  7. まとめ

なぜ今、物流業界でセキュリティ対策が急務なのか

― はじめに、物流業界におけるセキュリティリスクの変化について伺います。なぜ今、物流業界においてサイバーセキュリティの重要性が高まっているのでしょうか?

個人情報漏洩とは次元が違い、ランサムウェア攻撃で物流システムが機能しなくなると、社会や日常生活に直接大きな影響が及ぶことから、近年、急速に危機意識が高まっています。昨年は、サイバー攻撃で「ビールが届かない」「商品が届かない」といった事態が発生し、一般消費者にもその危険が広く認識されるようになりました。

かつてWMSは、数ある業務システムの一つという位置づけでした。しかし物流DXが進んだ現在、WMSの役割は大きく変化しています。今やWMSは、パソコンにおけるOSのような存在です。OSが動かなければメールすら確認できないのと同じように、WMSが停止すれば倉庫業務そのものが止まり、物流現場のあらゆる作業が停止してしまいます。

さらに、サイバー攻撃の手口も変化しています。近年は攻撃そのものが"ビジネス化"しており、攻撃者は身代金を得やすい企業の中核領域、すなわち基幹システムを直接狙う傾向にあります。物流は多くの企業が連携して成り立つため、1社の脆弱性がサプライチェーン全体のリスクになり得ます。今やサイバーセキュリティは単なるIT課題ではなく、事業継続を左右する経営課題として捉えるべき段階に来ています。

"止まる怖さ"を知るからこそ、泥臭く現場を見据えた設計に徹する

― ロジザードも、物流が止まるリスクに直面した経験はありますか?

あります。かなり昔の話で、サイバー攻撃によるものではありませんが、ロジザードZEROをリリースして間もない頃に、システムが丸1日停止してしまったことがありました。また、それ以前のロジザードPLUS(ロジザードZEROの前身となるサービス。2001年サービス開始)の時代には、導入直後にトラブルが発生し、対策としてロジザードの社員が現場の倉庫に入り、一緒にピッキング作業を行ったこともあります。今振り返るとかなり泥臭い対応でしたが...(笑)。

弊社の社訓である「出荷絶対」も、こうした苦い経験が背景にあります。「システムが止まると現場がどうなるのか」を体験して、物流が止まることの怖さを知っています。だからこそ、セキュリティ対策についても私たちは机上の空論ではない、現場を見据えた現実的な設計を大切にしています。理想論ではなく「止めないこと」を最上位要件とし、そのための設計・運用を一貫して行っています。

「攻撃されない」だけでは不十分。業界に先駆けて「SOC2 Type2報告書」取得に挑戦

― 今回、「SOC2 Type2報告書」の取得に踏み切った背景について教えてください。具体的なきっかけは何だったのでしょうか?

直接のきっかけは、他社のWMSがランサムウェア攻撃を受け、長期間停止した被害を目の当たりにしたことです。脅威を感じ、「自分たちのセキュリティの考え方も見直さなければならない」と強く思いました。もちろん、それまでも対策は講じていましたが、どちらかといえば「攻撃されないための対策」が中心でした。しかし今のサイバー攻撃は、ほんの一部の脆弱性で攻撃が成立します。防御側がどれだけ守りを固めても、わずかな穴を先に見つけられたらアウト。どれだけ対策を講じても、リスクをゼロにはできません。
攻撃を防ぐだけでなく「攻撃された後どうするか」が重要だと他社の事例から学び、セキュリティは「予防」「検知」「対応」の3つの観点で設計しました。そして、単に自社のセキュリティを見直すだけでなく、「どうせやるなら業界に先駆けて高い基準を取ろう」と、経営判断として「SOC2 Type2報告書」取得を推進しました。

実務上の課題もありました。荷主企業様から要請される数百項目にも及ぶセキュリティチェックシートへの対応が、双方にとって大きな負担でした。客観的な基準であるSOC2の報告書を提示できれば、こうした個別監査の負担を軽減し、より効率的で信頼性の高い取引ができると考えたことも、取得の大きな理由です。さらに、SOC2レポートがあれば、ロジザードZEROを使いたい現場の担当者様・決裁者様が判断する材料の一つとして活用しやすくなることも、狙いの一つでした。

ISMSやPマークと何が違う? SOC2の評価ポイントとは

― ISO/IEC 27001(ISMS)認証やプライバシーマークとの違いも含めて、SOC2の特徴を教えてください。

ISMSは、組織全体の情報セキュリティマネジメント体制を評価する認証で、「ルールを定め、継続的に運用・改善しているか」を確認する仕組みです。重要な認証ですが、基本的には自社で定めた管理体制や運用ルールが適切に機能しているかが評価されるものです。プライバシーマークは、主に個人情報保護に焦点を当てた認証で、SOC2はサービス全体の運用や統制まで含めて評価される点が大きな違いです。

そもそもSOC2とは、米国公認会計士協会(AICPA)が定めるTrustサービス規準(Trust Services Criteria)を評価基準として、サービス提供事業者の内部統制の整備および運用状況について、独立した第三者による保証を提供する報告書です。レポートにより、そのサービスが利用者に対してどれだけ信頼性の高い運用をしているかを客観的な評価を示すことができます。さらにSOC2 Type2では、ある時点での設計や体制を見るだけではなく、一定期間にわたって「その運用が実際に継続されているか」まで検証されます。

インシデント発生時の対応フローや意思決定プロセス、対応記録といった証跡に基づきサンプリング検証が行われるため、SaaS事業者にとっては、サービスの信頼性を示す具体的なエビデンスになります。今後、SaaS事業者にとって重要性が高まる基準だと考えています。

RPAの通信も遮断!? 「SOC2 Type2報告書」取得の舞台裏

― セキュリティ体制を構築する上で、苦労したことはありました?

セキュリティは、単にツールを導入して終わるものではありません。大切なのは、その仕組みをどう運用し続けるかです。 SOC2取得にあたっては、侵入検知機器を導入し、24時間の監視体制を構築しました。ただ、導入当初は防御設定が強すぎて、例えばあるお客様が利用中のRPAツールの通信までも遮断されてしまうことがあり、こうしたセキュリティ強度と業務利便性のトレードオフの調整に苦労しました。

また、SOC2では「運用していること」を証明するための証跡、例えば画面キャプチャやログなどの記録を、部署横断で集めなければなりません。これも相当な労力がかかるため、現場の理解を得るために丁寧に時間をかけて説明する必要がありました。さらに、万が一を想定し、一部機能を制限しながら最低限の業務を継続できる運用(縮退運転)設計も見直し、その訓練にも時間を割きました。技術的な対策と地道な運用の積み重ね、この両輪で実効性のあるセキュリティが実現すると考えています。

セキュリティ投資はコストではなく「攻めの武器」

― セキュリティにかかる費用を「コスト」とみる向きもありますが、ロジザードはどう捉えているのでしょうか?

セキュリティ投資は、企業の信頼を生み出し競争力を高めるための、「攻めの武器」だと捉えています。機能や価格だけでシステムを選ぶ時代は、終わろうとしています。価格と品質は表裏一体で、極端な安さの背景には、必要な投資が十分に行われていない可能性もあり、「安ければよい」という基準だけで選ぶべきではないとの認識が、業界内に広がってきていると感じます。

万が一の際にも物流を止めない、あるいは止まっても最小限の影響で復旧できる。こうしたリスク対応力が、荷主企業様からの信頼を得る競争力の一つになる。セキュリティ水準の高さは、新たな取引機会を広げ、ビジネス成長を支える基盤にもなり得ると思います。当社の「出荷絶対」には、何があってもお客様の荷物を止めないという強い意志が込められています。セキュリティもその約束を守るための基盤であり、経営層自らが「経営テーマ」として認識し、積極的に関与しています。

まとめ

物流DXの進展により、WMSは今や社会インフラの一部ともいえる存在になりました。物流システムは、導入して終わりではなく、運用を通じてその真価が問われます。システムの信頼性、物流に特化したノウハウ、そして運用を支えるサポート。この3つを組み合わせて提供することで、社会インフラに対する責任を果たせると、ロジザードは考えます。
ロジザードZEROの「止まらない運用体制」は、「SOC2 Type2報告書」により運用統制の有効性について第三者評価を受け、よりお客様に安心してご利用いただけるサービスとなりました。私たちはこれからも、長年の現場経験で培ったノウハウと徹底したセキュリティ運用、そしてお客様に寄り添うハイタッチなサポートで、継続的なコミュニケーションを通じて現場課題に向き合い、改善を重ねてまいります。

佐藤 元紀(さとう げんき)
ロジザード株式会社 製品サービス部 CTO 部長

2012 年に入社以来、ロジザード ZERO の設計・開発、API 開発、製品関連開発など、物流現場を支えるサービスづくりに取り組む。製品サービス部の責任者およびCTOとして、ロジザードのSaaS製品を支え、開発・サービス面の中核を担う。

参照:LOGISTICS TODAY 掲載記事

ロジザード、国産初SOC2で出荷停止リスクを低減 WMS攻撃で物流停止、問われる選定基準
https://www.logi-today.com/931999

ニュースリリース:クラウドWMS「ロジザードZERO」が「SOC2 Type2」報告書を取得
https://www.logizard.co.jp/news/2026/02/zero-soc2-type2/

  
   

関連記事