近年、取引先や委託先を経由した情報漏えい、ランサムウェア感染といったサイバー攻撃の被害が相次いでいます。
これに伴って、自社だけでなくサプライチェーン全体のセキュリティの重要性が高まり、企業がどの程度の対策を講じているのかを客観的に示す仕組みが求められるようになりました。
こうした背景から、経済産業省が整備を進めているのが「サプライチェーン強化に向けたセキュリティ対策評価制度」です。
企業のセキュリティ水準を一定の基準で評価し、対策度合いを見える化することで、発注者にとっては安心材料となり、受注者にとっては信頼を高める手段となります。本記事では、この制度の概要や必要とされる対応、今からできる備えについて解説します。
目次
セキュリティ対策評価制度とは
企業のセキュリティ水準を一定の基準で評価し、対策の度合いを3段階で示すことで、取引先や発注者が信頼性を判断しやすくする仕組みとなっています。
経済産業省が中心となり整備を進めており、登録プロセスや評価基準は明確に定められています。また、中小企業向けの自主宣言制度である「Security Action」とも関連しており、既存の取り組みを土台にステップアップできる点が特徴です。
なお、2026年度の制度開始を目指しています。
制度の概要
「サプライチェーン強化に向けたセキュリティ対策評価制度(以下、本制度という)」は、サプライチェーン全体でのセキュリティ対策水準の向上を目指す制度です。特に、取引先へのサイバー攻撃等に起因する情報漏えいリスク、製品・サービスの提供途絶リスク、取引ネットワークを通じた不正侵入等リスクに対する適切なセキュリティ対策を促し、経済・社会全体のサイバーレジリエンスを強化することを目的としています。
本制度の対象は、サプライチェーンを構成する企業等のIT基盤(オンプレミス、クラウド環境を含む)です。主に2社間の取引契約における受注者側が、対策を実施する主体として想定され、取得単位は法人または企業グループ全体を基本としています。
求められる事
本制度は、求められる対策のレベルや評価の方法などによって3段階設けられています。
| 区分 | 名称 | 対策の特徴 | 評価方法 |
| 星3 | Basic | サプライチェーン企業が最低限実装すべき基礎的な組織的対策とシステム防御策を求め、広く認知された脆弱性を悪用する一般的なサイバー攻撃への対処を目指す水準 | 自己評価 |
| 星4 | Standard | サプライチェーン企業が標準的に目指すべき水準であり、組織ガバナンス、取引先管理、システム防御・検知、インシデント対応などを包括的に実施し、初期侵入の防御にとどまらず、被害拡大防止や事業継続を推進する水準 | 第三者評価 |
| 星5 | (検討中) | より高度なサイバー攻撃に対応する到達点として、国際規格におけるリスクベースの考え方を反映し、現時点でのベストプラクティスに基づく対策を実行することを想定した水準であり、具体像は2025年度以降に検討予定 | 第三者評価 |
星3は具体的な内容設定が進行中
現在、星3(Basic)と星4(Standard)の要求事項や評価スキームの検討が進められており、2026年度の運用開始を目指しています。
一方、星5については、より高度なサイバー攻撃に対応する位置づけとなっていますが、具体的な対策基準や評価スキーム、開始予定時期などは、2025年度以降に検討が進められる予定です。このため、星5は星3と星4の後に遅れてリリースされることになります。
また、星3〜5のそれぞれの段階で、米CMMCや英Cyber Essentials、日本の自工会・部工会ガイドラインなど各関連制度・ガイドラインがベンチマークとして設定されていることも特徴の1つです。
この制度によって、受注企業は自身のセキュリティ対策を明確化し説明が容易になり、発注企業は取引先の対策状況を把握しやすくなることで、サプライチェーン全体の強靱化につながることが期待されています。
セキュリティ対策評価制度 区分 登録の流れ
星3と星4では評価方法が異なるため、登録の流れも異なります。星5はまだ未定となっています。
星3は自己評価を原則としているため、自社内で自己評価を実施し提出することになります。有効期間は1年間であり、更新のためには年次での自己評価が必要になります。 星3の登録の流れは、以下の通りです。
- 評価取得を希望する組織(取得希望組織)が、星3の要求事項に基づいて自己評価を記入
- 社内外の資格者(情報処理安全確保支援士や、セキュリティプレゼンター、ITコーディネータ等)が、記入内容を評価、要求事項に対する合否を判断
- 自己評価結果および資格者による評価を、登録機関に提出
- 登録機関は、提出された申請内容に問題がないことを確認後、該当組織を台帳に登録・公開
星4は第三者評価が原則のため、自社内で必要な対策を実施後、評価機関からの評価を受ける必要があります。ただ、評価コストの負担を抑える観点で詳細が今後検討されるため、一部流れが変わる可能性も考えられます。有効期間は3年であり、維持するためには、毎年1回の自己評価の実施・評価機関への提出と、3年に1回の第三者評価が必要になります。
星4の登録の流れは、以下の通りです。
- 取得希望組織が、星4の要求事項に基づいて回答を準備
- 取得希望組織が、認定された評価機関または技術検証事業者に、検証・評価を依頼
- 評価機関または技術検証事業者が、技術要件を中心に、一部の要求事項について第三者評価を実施
- 評価機関または技術検証事業者が、評価結果を取得希望組織に通知、認定機関に提出
- 認定機関が、合格となった組織を台帳に登録・公開
Security Action との関係
本制度は、「SECURITY ACTION(セキュリティ対策自己宣言)」から、より高度なセキュリティ対策に取り組む発展系の制度です。
「SECURITY ACTION」は、経営者自身が情報セキュリティ対策に取り組むことを自己宣言する制度で、「1つ星」と「2つ星」の2段階があります。
1つ星は、企業が情報セキュリティの5項目に自ら取り組むことを宣言するもので、
2つ星はさらに多くの情報セキュリティ対策に取り組むことを宣言するものです。これは、経営者による自社のセキュリティ対策への意識付けや取り組みの第一歩として機能し、本制度への登録に向けた準備段階と位置づけられています。
「SECURITY ACTION」で基本的なセキュリティ意識と対策を実践した後、さらに一歩進んで星3や星4の取得へとつなげていく流れが想定されています。
なぜ制度が必要なのか
取引先のセキュリティ水準を担保する方法は、発注者と受注者の双方にとって長年の課題です。従来はチェックシートやアンケートによる確認が主流でしたが、統一基準がないため取引先ごとに要求がばらつき、双方に過度な負担が生じてきました。さらに、これらの手法は形骸化しやすく、サプライチェーン全体に被害が波及する現実を防ぎ切れないことも明らかになっています。
事例として、2022年に発生した小島プレス工業のインシデントが挙げられます。この事例では、同社が利用していたリモート接続機器の脆弱性を突かれシステムが被害を受け、取引先である自動車メーカーの国内全工場が一時的に稼働停止に追い込まれました。
1社の弱点が取引網全体に影響を及ぼすというサプライチェーンリスクを象徴する事例です。
本制度は、このような状況に対応するために設計されています。発注企業にとっては、取引先のセキュリティ水準を客観的に把握しやすくなり、調達リスクの低減が期待されます。受注企業にとっては、自社がどの程度の対策を講じるべきかが明確になり、取引先に対して状況を説明しやすくなります。特に中小企業にとっては、リソースが限られる中でも効率的に必要な対策を進められる点が大きな利点です。
最終的には、こうした取り組みの積み重ねがサプライチェーン全体のセキュリティ水準を押し上げ、経済・社会全体のサイバーレジリエンスを強化することにつながります。
制度で求められること
本制度では、受注者と発注者にそれぞれ異なる役割が求められています。制度の目的であるセキュリティ水準の底上げを実現するには、両者の協力が不可欠です。
受注者に求められる対策
受注者側には、まず自社のセキュリティ対策を実施し、制度に基づく評価を取得する責任があります。
星3(Basic)では、25項目の基礎的な組織的対策とシステム防御策の実装が求められます。星4(Standard)では44項目に及ぶ組織ガバナンス、取引先管理、システム防御・検知、インシデント対応などの、包括的な対策を実装することが必要です。これらは、自工会・部工会ガイドラインのレベル1・レベル2と関連付けられており、自己評価との連携も検討が進んでいます。
星5では、国際規格に基づくリスクベースの考え方を反映し、現時点でのベストプラクティスを取り入れた高度な対策を整備することが想定されており、詳細が今後検討される予定です。
発注者側の対応
発注者側には、取引先に適切な対策を求め、その実施状況を確認する責任があります。
契約においてどの段階(星3または星4)を満たすべきかを明示し、自社の事業継続や機密情報保護に関わるリスクを考慮しながら要求水準を設定します。たとえば、重要な取引先には星4を求める、といった活用が想定されます。また、直近のインシデントや再委託先の重要性に応じて基準を調整し、必要に応じて追加要件を課すことも可能です。
発注者は直接管理できない再委託先についても、一次委託先を通じて対策状況を把握する責任があります。特に星4の要求事項には「重要な取引先のセキュリティ対策状況の把握」が含まれており、重要な機密情報を扱う再委託先に対しても一定の適用が期待されます。
発注者にとってのメリットは大きく三つあります。1つ目は、取引先の水準を統一的な基準で把握できるようになり、管理の効率化と形骸化防止につながることです。2つ目は、取引先の対策が進むことで自社のリスク低減に寄与することです。3つ目は、公的制度を根拠として対策を要請できるため、要求の正当性が担保され、取引先にとっても受け入れやすくなることです。
これらの効果を通じて、最終的にはサプライチェーン全体のセキュリティ水準向上につながります。
具体的な要件
以下は、本制度における要求事項を大分類ごとに整理したものです。各項目数は、星ごとの要求事項の件数を示しています。
| 大分類 | 星3の項目数 | 星4の項 目数 | 要求概要 |
| ガバナンスの整備 | 4 | 6 | 組織全体のセキュリティ体制の確立、役割・責任の明確化、ポリシーの策定と周知、サイバー攻撃の監視・分析体制の整備、秘密保持契約の締結、およびセキュリティ対策状況の定期的な見直しと経営層への報告を通じて、継続的なセキュリティ対策の推進とガバナンス強化を目指します。 |
| 取引先管理 | 2 | 4 | サプライチェーンにおける取引先との関係性把握、機密情報の取り扱い明確化、重要な取引先のセキュリティ対策状況把握、インシデント発生時の役割・責任、契約終了時の情報回収など、取引先とのセキュリティに関する取り決めと管理を強化します。 |
| リスクの特定 | 4 | 4 | 組織内のIT資産(ハードウェア、OS、ソフトウェア、ネットワーク)の正確な把握と管理、機密情報の分類と管理ルール策定、脆弱性の管理体制とプロセス確立を通じて、潜在的なリスクを明確にします。 |
| 攻撃等の防御 | 8 | 5 | ユーザーおよび管理者のID・アクセス権限の厳格な管理、認証の強化、意識向上トレーニング、安全なシステム構成維持、マルウェア対策、パッチ適用を通じて、サイバー攻撃の侵入と拡大を防ぎます。 |
| データセキュリティ | 1 | 4 | 組織が取り扱うデータの適切なバックアップ、機密情報の暗号化、重要データの保管場所のルール化、および取引先との情報共有ルールを通じて、データの機密性、完全性、可用性を確保します。 |
| プラットフォームセキュリティ | 3 | 4 | ハードウェアおよびソフトウェアの安全な構成維持、不要な機能の削除、サポート期限の管理、パッチ適用、マルウェア対策、ログの取得とレビューを通じて、ITプラットフォームの堅牢性を維持します。 |
| 技術インフラのレジリエンス | 1 | 2 | ネットワークの適切な分離、境界防御、および社内から社外への不正通信の遮断対策を講じることで、ITインフラの回復力(レジリエンス)を高めます。 |
| 攻撃等の検知 | 1 | 3 | ネットワーク接続、データ転送、ハードウェア・ソフトウェアの挙動の継続的な監視、およびセキュリティインシデントとして扱う対象範囲を明確化し、異常を早期に発見できる体制を確立します。 |
| インシデントへの対応 | 1 | 0 | セキュリティインシデント発生時の対応手順を明確化し、発見から報告、調査、復旧までのプロセスを整備することで、迅速かつ効果的なインシデント対応を可能にします。 |
| インシデントからの復旧 | 0 | 1 | 事業継続上重要なシステムについて、自然災害や情報機器の故障・不具合を想定した復旧準備(バックアップ、トランザクションデータログ、復旧手順書の整備)を行うことで、迅速な復旧を可能にします。 |
星3では基礎的な管理策に重点が置かれ、星4になると組織ガバナンスや取引先管理、復旧計画などを含むより広範かつ実践的な対策が求められます。こうした体系的な整理によって、自社がどのレベルを目指すべきかを判断しやすくなります。
今からできる備え
制度の本格運用は2026年度を目指して準備が進められていますが、今の段階から備えておくことが重要です。早めに取り組むことで、将来的な評価取得もスムーズになり、取引先への説明責任も果たしやすくなります。
現状把握
まず取り組むべきは、自社の現状把握です。セキュリティポリシーやルールが整備されているか、脆弱なシステムが放置されていないか、インシデント対応の手順が定められているかといった観点を点検し、基本的な対策の有無を確認しましょう。こうした棚卸しは、星3の基礎的な25項目への対応状況を確認する第一歩となります。
体制づくり
次に、社内体制づくりを進めます。経営層の関与を明確にし、情報セキュリティを担当する責任者を定め、必要に応じて外部の専門家から助言を受けられる体制を準備します。外部の専門家としては、情報セキュリティマネジメントに知見を持つコンサルタントなどの支援を受けるのも有効です。
これにより、星4で求められる組織的なガバナンスや取引先管理への対応にもつながります。
日常的な運用
日常的な取り組みも欠かせません。従業員へのセキュリティ教育や、アクセス権限の適切な管理、ソフトウェア更新の徹底などは、今からすぐに始められる対策です。こうした基礎的な習慣づけが、制度上の評価に直結するだけでなく、実際のインシデント防止にも大きく寄与します。
認証のための対策は形式的になりがちですが、本制度で求められている内容は過度に高度なものではありません。むしろ、事業を安全に継続するための基盤整備として不可欠な内容です。
まずは現状把握から取り組み、自社の対策を一歩ずつ積み上げていくことが重要です。準備を早めに始め、自社と取引先の信頼を強化していくことが、今後の事業継続における大きな鍵となるでしょう。
