サプライチェーンの未来を守る─経産省「セキュリティ対策評価制度」を読み解く─
2025年11月18日
2025年4月14日、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました。
2026年度の制度開始を目指している中で今回は、その中間取りまとめの内容をひもときながら制度の背景、構成、企業に求められる対応、そして今後の展望について考えていきます。
サプライチェーン上のぜい弱性がもたらすリスク
近年、サプライチェーン(製品やサービスの提供に関わる一連の流れ)上のぜい弱性を標的とするサイバー攻撃が深刻化しています。サプライチェーンとは、複数の企業や組織が連携して成り立つ仕組みのため、サイバー攻撃を受けるとその影響は取引先や委託先など関係企業にまで及びます。独立行政法人情報処理推進機構(IPA)が公開している情報セキュリティ10大脅威2025では1位のランサム攻撃による被害に続き2位にランクインしています。
こうした状況からも、サプライチェーン全体のセキュリティ水準の向上を図ることは喫緊の課題といえるでしょう。
また、サプライチェーンにおけるセキュリティリスクは単なる情報漏えいにとどまりません。製品やサービスの提供途絶、取引ネットワークを通じた不正侵入など企業活動全体に影響を及ぼす可能性があります。特に中小企業はリソース不足から対策が後手に回りがちであり、サプライチェーン全体の弱点となることも少なくありません。
セキュリティ対策評価制度の目的と効果
前述した通り、増加するサプライチェーンを起点としたサイバー攻撃への対応として、経済産業省は「企業間取引におけるサイバーセキュリティ対策の可視化」を目指すセキュリティ対策評価制度を策定しています。
この制度は、企業が自社のサイバーセキュリティ対応力を「★3~★5」の段階で評価・表示することで、発注者が受注者の対策状況を客観的に把握できるようにするものです。これにより取引先選定の透明性が高まり、サプライチェーン全体のセキュリティ水準向上が期待されます。
受注企業への効果
- 自社がどの程度のセキュリティ対策を実施するべきか明確になる。
- 発注企業等に対して、セキュリティ対策に係る説明が容易になる。
- 対策に要する費用や効果を可視化できる。
- セキュリティサービス標準化による選択肢拡大やコスト低減(中長期)が可能になる。
発注企業への効果
- 取引先に求めるセキュリティ対策の内容や水準の決定が容易になる。
- 取引先のセキュリティ対策実施状況の把握が容易になる。
- 取引先におけるセキュリティ対策の適切な実装により、サプライチェーンに起因する自社セキュリティリスクが低減される。
社会全体での効果
- サイバー攻撃等の脅威に対するレジリエンス(回復し適応する力)が向上する。
- サイバー攻撃への備えのある企業等に適切な評価がされる。
- セキュリティ製品やサービスの市場拡大・競争力向上(中長期)する。
セキュリティ対策評価制度の構成
企業の「ビジネス観点(データ保護・事業継続)」と「システム観点(接続の有無)」を軸に必要な対策水準を分類し、セキュリティ対策のレベルを★3、★4、★5の3段階で評価します。これにより企業の立ち位置に応じた適切な対策が提示され、過剰・過少な対応を防ぐことができます。それぞれの対象企業や必要な対策は以下のように設定されています。
| 三つ星(★3) | 四つ星(★4) | 五つ星(★5) | |
| 想定される脅威 | 広く認知されたぜい弱性等を悪用する一般的なサイバー攻撃 | 供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃・機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃 | 未知の攻撃も含めた、高度なサイバー攻撃 |
|---|---|---|---|
| 対策の基本的な考え方 | すべてのサプライチェーン企業が最低限実装すべきセキュリティ対策 | サプライチェーン企業等が標準的に目指すべきセキュリティ対策 | サプライチェーン企業が到達点として目指すべき対策 |
| 基礎的な組織的対策とシステム防御策を中心に実施 | 組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施 | 国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備したうえで、システムに対しては現時点でのベストプラクティスに基づく対策を実施 | |
| 評価スキーム | 自己評価(25項目)※1 | 第三者評価(44項目) | 第三者評価(内容検討中) |
| 更新頻度 | 1年更新 | 3年更新※2 | 検討中 |
-
※1
ただし社内等の専門家による評価を想定
-
※2
1年ごとに自己評価を実施(評価機関に提出)
他制度との連携
既存の「SECURITY ACTION」や「JAMA・JAPIAガイドライン」、国際標準である「ISMS適合性評価制度」と相互補完的に運用されることを目指しています。将来的には、英国「Cyber Essentials」など海外制度との相互認証も視野に入れています。
他国制度との相互認証により、複数国の異なる制度に個別対応する必要がなくなるため、評価・監査の重複を回避することが可能になり「セキュリティ対策の証明」が国際的に通用し、グローバルサプライチェーンでの競争力が向上するなどのメリットが生まれます。
セキュリティ対策評価制度導入に向けた課題と意見
中間取りまとめでは、制度の運用に向けた多くの意見が紹介されています。
- ★3の評価項目が抽象的で中小企業には難解なため、より具体的な内容を記載してはどうか
- ★を一度取得してそのままでよいのか。定期的な更新の方法について決めておくべきではないか
- 取引先から、セキュリティ対策をどうして良いか分からないといわれ困っている。具体的なやり方と、その支援策がセットになった情報を提供してほしい
- 日本自動車工業会(自工会)ガイドラインなど 既存のガイドラインと本制度との関係性を、事業者に対し明確に提示すべきではないか。中長期的には統合するのがよいのではないか
- サプライチェーンに属する企業だけではなく、属さない企業も取得すべきではないか
- セキュリティ対策は導入して終わりではない。パッチの適用等、運用面でのセキュリティ対策も補記すべきではないか
これらの課題に対して、より具体的なガイドラインの整備が行われています。
セキュリティ対策評価制度が始まる前にやるべきこと
2026年度の制度開始を目指し、実証事業等を通じた評価スキームの具体化や制度の利用促進につながる施策の検討等を進めていく予定です。
2025年度:実証事業、制度運営基盤の整備
2026年度:制度運用開始(★3・★4)
2027年度以降:取引条件としての制度活用が本格化する可能性
それまでに企業として、以下のような対応を行っておくことが必要と考えられます。
発注者側(調達企業)
1. 制度理解と方針策定
- サプライチェーンセキュリティ評価制度の目的・評価項目を理解し、自社の調達方針に反映
- 調達契約にセキュリティ要件を明記する準備
2. 評価基準の設定
- 受注者に求めるセキュリティレベルを定義(例:情報管理、アクセス制御、インシデント対応)
- 評価方法(自己申告、第三者認証、監査)を決定
3. 社内体制整備
- 調達部門と情報セキュリティ部門の連携強化
- サプライヤー評価プロセスを標準化
4. サプライヤーへの周知
- 制度開始前に要件を通知し、準備期間を確保
- FAQや説明会の開催
受注者側(サプライヤー)
1. 制度理解と現状分析
- 評価制度の要求事項を把握
- 自社のセキュリティ対策状況を自己診断
2. 対策強化
- 不足しているセキュリティ対策(例:暗号化、アクセス権管理、ログ監視)を改善
- インシデント対応手順の整備
3. 証跡準備
- セキュリティ対策を証明する文書や記録を整備
- 必要に応じて第三者認証(ISO27001など)取得
4. 社内教育
- 従業員へのセキュリティポリシー周知と研修
おわりに
この制度は単なるセキュリティ対策の評価制度ではなく、日本の産業構造全体の信頼性を高める基盤となる可能性を秘めています。企業規模や業種を問わず、サプライチェーンに関わるすべての企業がこの制度を理解し、適切に対応することが求められています。
制度の本格運用に向けて、サイバー攻撃から身を守るための「守りのセキュリティ」から、信頼されるための「攻めのセキュリティ」へ、今こそ意識を転換させていきましょう。
セキュリティ対策評価制度 申請支援サービスのご紹介
「セキュリティ対策評価制度」は、サプライチェーン全体のセキュリティ強化を目的としており、今後の本格運用により取引先から本制度に準拠したセキュリティ対策を求められることが想定されます。中小企業にとっては、評価取得に必要な知識、体制、リソースの確保が大きな課題となり、信頼性の確保や取引関係の維持・発展を図るためにも、早期の対応が重要です。
こうした背景を踏まえ、キヤノンシステムアンドサポート株式会社では、制度への対応をスムーズに進めるための「申請支援サービス」をご提供しています。制度の要件整理から申請書類の作成支援、必要なセキュリティ対策の導入まで、専門スタッフが丁寧にサポートいたします。
「何から始めればいいかわからない」「自社に必要な対応が知りたい」といったお悩みをお持ちの方も、まずはお気軽にご相談ください。
今すぐ読みたいおすすめ情報
会社の処方箋についてのご相談・見積・お問い合わせ
キヤノンシステムアンドサポート株式会社