menu

パソコン情報漏洩対策のセキュリティコラム

menu

経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度とは

経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度とはのアイキャッチ画像
ホーム > パソコン情報漏洩対策のセキュリティコラム > セキュリティ > 経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度とは

近年、サプライチェーンを経由したサイバー攻撃の脅威が急増しており、医療機関の被害や物流の混乱など、私たちの社会全体に甚大な影響を及ぼしています。

こうした攻撃は、自社だけの問題にとどまらず、取引先や委託先を巻き込んで被害が拡散する恐れがあるため、サプライチェーン全体でセキュリティ対策を強化する必要が高まっています。

こうした背景を受けて、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」を構築する検討を進めており、2025年4月14日に中間取りまとめが公表されています。

セキュリティ対策評価制度は、企業のセキュリティ対策を可視化し、統一的な評価基準を提示することで、発注企業も受注企業も安心して取引できる環境の整備を目指している点が重要です。 本記事では、制度の全体像から制度化に向けたスケジュール、企業が今すぐ取り組むべき具体的な行動まで、情シス担当者の視点を意識して詳しく解説いたします。

目次
  1. 経済産業省「セキュリティ対策評価制度」の全体像
    1. 制度の目的と目指すもの
    2. 評価段階「★1~★5」の具体的な内容
    3. 評価対象となるシステムと範囲
  2. 2026年運用開始に向けた最新動向とスケジュール
    1. 中間取りまとめの重要ポイント
    2. 実証事業から見えてきた課題と今後の展望
  3. 企業が「今すぐ」取るべき具体的な行動ロードマップ
    1. ステップ1:現状のセキュリティ対策レベルを把握する
    2. ステップ2:目標とする評価段階(★)を設定する
    3. ステップ3:目標達成に向けた対策計画の立案と実施
    4. ステップ4:継続的な改善と評価への備え
  4. 評価制度導入によるメリットと注意点:発注側・受注側の視点から
    1. 発注企業にとってのメリットと活用法
    2. 受注企業にとってのメリットと競争力向上
    3. 制度導入・運用における注意点と課題
  5. 関連情報:経済産業省のその他の支援策や補助金
    1. IT導入補助金
    2. サイバーセキュリティ対策促進事業
    3. SECURITY ACTION
  6. まとめ

経済産業省「セキュリティ対策評価制度」の全体像

セキュリティ対策評価制度は、サプライチェーン全体のセキュリティ水準を底上げし、取引の信頼性を高めるための新しい評価枠組みです。

対象はIT基盤を持つあらゆる企業で、大企業から中小企業までを含みます。

評価結果は、取引の維持や拡大、業務効率化、そしてサイバーリスク低減といった効果をもたらすことが期待されています。

ここでは、制度の目的、評価段階の具体像、評価対象範囲について順を追って解説します。

制度の目的と目指すもの

制度の根底にあるのは、サプライチェーン全体のレジリエンスを高めることです。

取引先を経由したサイバー攻撃、製品やサービスの提供が途絶するリスク、さらには取引ネットワークを通じた不正侵入といった脅威に対処するため、共通の評価基準を設定します。

これにより、各企業は自社のセキュリティ対策レベルを明確にし、改善計画を策定できます。 また、評価を通じて得られる客観的な指標は、取引先との信頼構築や契約条件の明確化にもつながります。

評価段階「★1~★5」の具体的な内容

評価制度は5段階で構成されており、段階が上がるほど高度な対策と運用体制が求められます。

特に★1・★2は、まだセキュリティ対策が不十分な中小企業にとって、第一歩として着手しやすい段階です。

★4以上を目指す場合は、外部専門家の関与や定期的なセキュリティ監査が不可欠となります。

評価段階主な要求事項関連制度
★1・★2基礎的なセキュリティ対策(パスワード管理、OS更新、ウイルス対策ソフト導入など)を実施。 IPAの「SECURITY ACTION」と連動し、自己宣言によって達成可能。SECURITY ACTION
★3 (Basic)一般的なサイバー脅威への対応が可能な水準。 アクセス制御、多要素認証、バックアップ体制の整備などを要求。 自己評価に基づく報告が中心。独自評価基準
★4 (Standard)初期侵入防御に加え、被害拡大防止や事業継続計画(BCP)を含む水準。 脆弱性診断やログ監視なども求められ、第三者評価が必須。独自評価+第三者評価
★5国際規格(ISO/IEC 27001 等)に準拠した高水準の対策。 今後の議論で具体要件を決定予定。国際標準規格

評価対象となるシステムと範囲

評価の対象はIT基盤全般であり、オンプレミス環境とクラウド環境の双方が含まれます。

社内ネットワークや業務アプリケーション、メールシステムなど、事業遂行に不可欠なITシステムが評価対象です。

一方、製造ラインなどのOT(Operational Technology)システムや、製品そのものは原則として評価対象外となります。

この線引きにより、企業は対象範囲を明確化し、効率的に評価準備を進めることができます。

2026年運用開始に向けた最新動向とスケジュール

セキュリティ対策評価制度は2026年の正式運用開始を目指し、現在は制度設計と実証事業が並行して進められています。

2025年4月14日には中間取りまとめが公表され、制度の方向性と評価項目の大枠が示されました。

今後は、★5の要件を含む最終的な評価基準の策定や、第三者評価体制の整備が予定されています。 ここでは、中間取りまとめの内容と実証事業から見えた課題、そして今後のロードマップについて解説します。

中間取りまとめの重要ポイント

中間取りまとめでは、企業のセキュリティ対策を大きく3つの柱に分類しています。

一つ目は、「経営の責任」で、経営層がセキュリティ対策に関与し、戦略的に資源を投入する体制づくりを求めています。

二つ目は、「サプライチェーンの防御」で、取引先や委託先に対しても一定のセキュリティ水準を求める方針を明示。

三つ目は、「IT基盤の防御」で、アクセス制御、脆弱性管理、監視体制の強化など、技術的な防御策の実施を含みます。

これらの評価項目は、企業規模や業種を問わず適用可能なよう設計されており、特に中小企業に配慮した段階的な取り組みを可能にしています。

実証事業から見えてきた課題と今後の展望

実証事業では、多くの企業が自己評価段階での項目理解や、対策の証拠資料作成に時間を要することが明らかになりました。

特に中小企業では、次の3つの課題が目立ちます。

  • 費用負担(セキュリティ機器やサービスの導入費用)
  • 人材不足(専任担当者が不在、兼任による負担増)
  • 知見不足(対策優先度や実施方法が不明確)

こうした課題への対応として、経済産業省やIPAは補助金制度やガイドライン提供を検討中です。

また、評価制度の申請から承認までを支援するポータルサイト構築や、オンライン教育コンテンツの提供も計画されています。

制度開始までの1年半は、こうした支援策を活用しつつ、自社体制の整備を進める重要な期間となります。

企業が「今すぐ」取るべき具体的な行動ロードマップ

制度の本格運用開始までにはまだ時間がありますが、直前になって準備を始めると間に合わない恐れがあります。

特に中小企業の場合、予算確保や人員調整には時間を要するため、今から段階的に取り組みを進めることが重要です。

ここでは、すぐに着手できる4つのステップを提示します。

ステップ1:現状のセキュリティ対策レベルを把握する

最初の一歩は、自社が現時点でどのレベルにあるのかを客観的に知ることです。

IPAが提供する自己診断ツールやチェックシートを活用すれば、対策の有無や弱点を把握できます。

SECURITY ACTIONの取り組み状況も合わせて確認すると、評価制度との関連性が明確になります。

診断結果は、経営層に報告し、改善に向けた投資や計画立案の根拠にしましょう。

ステップ2:目標とする評価段階(★)を設定する

次に、自社の事業特性やサプライチェーンにおける役割、取引先からの要件を踏まえて、現実的かつ意欲的な評価段階を設定します。

例えば、既存の主要取引先が★3以上を求めている場合は、早期に★3達成を目指す必要があります。

一方で、新規市場開拓や国際取引を視野に入れるなら、★4以上を目標とすることが競争力向上につながります。

ステップ3:目標達成に向けた対策計画の立案と実施

目標段階が決まったら、不足している対策を洗い出し、優先順位をつけて実行計画を策定します。

具体的には、多要素認証の導入、EDR(Endpoint Detection and Response)の活用、定期的な脆弱性診断、従業員教育などが挙げられます。

社内に知見が不足している場合は、外部の専門家やセキュリティベンダーと連携することも有効です。

各段階に応じたチェックリストを作成すれば、進捗管理や証拠資料の整備がスムーズになります。

ステップ4:継続的な改善と評価への備え

セキュリティ対策は一度実施すれば終わりではなく、常に更新・改善が求められます。

脅威の種類や攻撃手法は日々進化しており、定期的な見直しが不可欠です。

また、評価制度では更新時の再評価も想定されるため、日常的に記録や証跡を残し、監査や第三者評価に備える習慣を定着させることが重要です。

評価制度導入によるメリットと注意点:発注側・受注側の視点か

評価制度は、発注企業・受注企業の双方にメリットをもたらす一方で、運用上の注意点や課題も存在します。

ここでは、それぞれの立場からの利点と留意すべきポイントを整理します。

発注企業にとってのメリットと活用法

発注企業にとって最大のメリットは、取引先のセキュリティ対策状況を客観的に可視化できる点です。

評価結果を基に、信頼性の高いパートナーを選定でき、サプライチェーン全体のリスクを低減できます。

また、契約時に評価基準を要件として組み込むことで、セキュリティ対策の実効性を担保できます。

結果として、取引ネットワーク全体の強靭化と効率化が進みます。

受注企業にとってのメリットと競争力向上

受注企業にとっては、評価取得が新規取引の獲得や既存取引の維持に直結します。

他社との差別化要因となり、競争力の強化につながります。

また、セキュリティ対策にかかった費用や体制整備を、評価制度を通じて外部に説明しやすくなるため、顧客や投資家への信頼向上にも寄与します。

さらには、インシデントリスクの低減によって事業継続性が高まり、長期的な経営安定にもつながります。

制度導入・運用における注意点と課題

競争力向上のメリットがある一方で、制度導入には初期投資や運用負担が伴います。

特に中小企業では、セキュリティ機器やサービスの導入費用、人材不足、評価基準の解釈の難しさが課題となります。

また、第三者評価を受ける場合、その費用や工数も無視できません。

これらに対応するためには、補助金制度やガイドラインを積極的に活用し、必要に応じて外部パートナーと連携する体制を整えることが望まれます。

関連情報:経済産業省のその他の支援策や補助金

本評価制度への対応を後押しするため、経済産業省やIPAは既存の支援策や補助金制度を整備しています。

これらを活用することで、特に中小企業は初期投資や運用コストの負担を軽減しながら、必要なセキュリティ対策を進められます。

代表的なものとしては、以下のような支援があります。

IT導入補助金

中小企業・小規模事業者がITツールを導入する際に、その経費の一部を補助する制度です。

セキュリティ関連ソフトウェアやクラウドサービスの導入も対象となる場合があります。

サイバーセキュリティ対策促進事業

中小企業が脆弱性診断やセキュリティ監視サービスを導入する際の費用を支援する制度です。

評価制度の★3以上を目指す場合にも有効活用できます。

SECURITY ACTION

IPAが運営する自己宣言制度で、★1・★2に該当する基礎的対策の取り組みを支援します。

宣言に必要なガイドラインやチェックリストも無償で提供されています。

これらの制度は毎年度ごとに予算や要件が変更されるため、最新情報を経済産業省やIPAの公式サイトで確認しながら申請準備を進めることが重要です。

特に制度開始前の今の段階で活用すれば、評価制度へのスムーズな対応につながります。

まとめ

サプライチェーン全体のセキュリティ強化は、今や企業規模や業種を問わず避けて通れない課題です。

経済産業省の「セキュリティ対策評価制度」は、共通の評価基準を設けることで、取引先の信頼性向上とリスク低減を同時に実現できる枠組みとして期待されています。

制度開始までの準備期間は限られているため、現状把握から目標設定、計画策定、継続的改善までを計画的に進めることが肝心です。

さらに、補助金や支援策を活用すれば、中小企業でも無理なく取り組みを進められます。

発注側・受注側双方がセキュリティ対策評価制度を積極的に活用することで、より強固で信頼性の高いサプライチェーンを築くことが可能になります。