サプライチェーン強化に向けたセキュリティ対策評価制度
経済産業省は、サプライチェーン全体の安全性を高めるため、企業が取り組むべきセキュリティ対策の指針を示し、それぞれの対策状況を見える化する仕組みの構築を進めています。現在、その検討内容が「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」として公表されました。
本ページではセキュリティ対策評価制度が開始される背景や目的、評価基準、具体的なメリットや導入時の課題などを踏まえて紹介します。
-
※
本ページの内容は、2025年9月時点の情報です。
サプライチェーン強化に向けたセキュリティ対策評価制度とは
「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」にて公表されている概要を解説いたします。
制度の概要
近年、サプライチェーンが原因となるサイバーインシデントが増加していることを背景に、経済産業省は「企業間取引におけるサイバーセキュリティ対策の可視化」を目的として、企業のサイバーセキュリティ対応力を★3~★5の段階で評価する制度を策定しています。この制度は、企業間の取引においてサイバー攻撃などのリスクに備えるため、発注側が受注側に求めるセキュリティレベルを明確にし、受注側が自社の対応状況を客観的に示せるようにすることを目的としています。これにより、サプライチェーン全体のセキュリティ水準を底上げし、企業間の信頼性向上につなげることを目指しています。全企業を対象として、2026年度の制度開始を目指しています。
評価モデルの概要
2025年4月14日付の「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間とりまとめ(概要)」資料によると、★3~★5は下表を基準とした対策を求めることを案としています。
具体的には(1)ビジネス観点(データ保護・事業継続における重要度)(2)システム観点(接続の有無)の二点で整理されています。
| 三つ星(★3) | 四つ星(★4) | 五つ星(★5) | |
| 想定される脅威 | 広く認知されたぜい弱性等を悪用する一般的なサイバー攻撃 | 供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃・機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃 | 未知の攻撃も含めた、高度なサイバー攻撃 |
|---|---|---|---|
| 対策の基本的な考え方 | すべてのサプライチェーン企業が最低限実装すべきセキュリティ対策 | サプライチェーン企業等が標準的に目指すべきセキュリティ対策 | サプライチェーン企業が到達点として目指すべき対策 |
| 基礎的な組織的対策とシステム防御策を中心に実施 | 組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施 | 国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備したうえで、システムに対しては現時点でのベストプラクティスに基づく対策を実施 | |
| 評価スキーム | 自己評価(25項目)※1 | 第三者評価(44項目) | 第三者評価(内容検討中) |
| 更新頻度 | 1年更新 | 3年更新※2 | 検討中 |
-
※1
ただし社内等の専門家による評価を想定
-
※2
1年ごとに自己評価を実施(評価機関に提出)
レベルの位置づけ
IPAが実施するセキュリティ対策段階を自己宣言する制度である「SECURITY ACTION」では★1と★2が定義されており、経済産業省による「サプライチェーン強化に向けたセキュリティ対策評価制度」では、それに続く形で、★3、★4、★5の3つの対策段階が定義されます。
サプライチェーン強化に向けたセキュリティ対策評価制度のメリット
評価を取得することでサイバー攻撃等の脅威に対するレジリエンス(回復し適応する力)の向上が期待されています。
-
取引先からの信頼向上と選定基準への対応
★を取得することで、自社のセキュリティ対策レベルが可視化され、取引先(特に大手企業)からの信頼を得やすくなります。発注元企業が取引先に対して★3以上の取得を条件とするケースも想定されており、取得していないと取引機会を失う可能性もあります。 -
自社のセキュリティリスクの低減
★3では基本的なシステム防御と体制整備、★4ではガバナンス・取引先管理・検知・対応まで含む包括的な対策が求められます。これにより、自社の情報漏えいや業務停止などのリスクを大幅に低減できます。 -
社内外への説明が容易になる
取得した★のレベルを示すことで、社内の経営層や顧客に対して「どの程度のセキュリティ対策を実施しているか」を明確に説明でき、説得力のある営業活動や社内啓発にも活用できます。 -
セキュリティ対策の標準化と効率化
制度に基づいた評価項目(★3で25項目、★4で44項目など)に対応することで、社内のセキュリティ対策が体系化され、属人化を防ぎ、効率的な運用が可能になります。
受注企業と発注企業のメリット
複数の取引先から異なるセキュリティ対策基準を求められることは、受注企業にとって大きな負担となります。標準化されたセキュリティ評価制度を導入することで、自社が取り組むべき対策が明確になり、効率的かつ的確な対応が可能になります。その結果、セキュリティ対応力が客観的に評価され、既存の取引先との継続的な関係構築はもちろん、新規取引先からも信頼され、選ばれる可能性が高まります。
一方、発注企業にとっては、取引先のセキュリティ対策状況を把握することが重要な課題です。従来は、評価の定量化や確認に多くのコストと時間がかかっていましたが、標準化された評価制度を活用することで、取引先のセキュリティ実施状況を容易かつ適切に把握できるようになります。特にマネジメントシステム認証を取得している企業との取引では、第三者認証機関による評価結果を確認できるため、安心して業務を任せることができます。
★3/★4の認定・公開に至る評価の流れ
「サプライチェーン強化に向けたセキュリティ対策評価制度」に基づく評価を受ける際には、いくつかのステップを踏む必要があります。★3/★4では評価のプロセスが異なりますので、ご注意ください。
★3(三つ星)の評価の流れ
★3(三つ星)の評価の流れは以下の通りです。
(1)取得希望組織は、★3要求事項に基づき自己評価を記入(必要に応じ、社内外の資格者の助言を得る)
(2)社内外の資格者は、記入内容を評価、要求事項に対する合否を判断
(3)取得希望組織または社内外の資格者は、登録機関に評価結果を提出
(4)登録機関は、申請内容に問題が認められない場合には台帳に登録・公開
★4(四つ星)の評価の流れ
★4(四つ星)の評価の流れは以下の通りです。
-
※
評価機関または技術検証事業者からの評価が必要
(1)認定機関は、評価機関・技術検証事業者を認定する
(2)取得希望組織は、★4の要求事項に基づいて回答を準備する
(3)取得希望組織は、評価機関または技術検証事業者に検証・評価を依頼する
(4)評価機関または技術検証事業者が、検証・評価を実施する
(5)評価結果を取得希望組織に通知し、認定機関に提出する
(6)認定機関は、「合格」とされた組織を台帳に登録し、公開する
制度化スケジュール
2026年の本格導入に向け、経済産業省を含む関係機関では「サプライチェーン強化に向けたセキュリティ対策評価制度」の具体的な設計について段階的にアップデートが進められる予定です。2025年4月に中間取りまとめが公表された後、業界や有識者とのさらなる議論を経て、2025年11月に★レベルに応じた要求事項が確定するといわれています。
そのため2026年1月~9月は制度運営の準備期間となり、申請受付に向けた体制整備が進められます。運用開始は2026年10月が予定されています。
必要な対策とは
制度開始前のため、現時点では「案」段階ではありますが、★レベルに応じた要求事項がリリースされる予定になっています。★3で25項目の要求事項があり、セキュリティ対応方針の策定や機密情報の定義、パソコンの設定に関することまで多岐にわたります。
自社のみでは対策をすることが難しいことが想定されるため、専門業者に依頼するなど対策を検討していく必要があります。
★3取得について、当社では取得支援サービスをご提供いたします。ぜひご相談ください。
セキュリティ対策評価制度 申請支援サービス
「セキュリティ対策評価制度 申請支援サービス」では制度開始と同時に評価を公表できるよう、★3取得をご支援いたします。セキュリティ方針策定、社内ルール整備、定期棚卸しを通じた体制強化、有資格者による評価提出までを一貫してサポートすることで、企業価値向上と競争力強化に貢献いたします。
セキュリティ訓練サービス
実際の攻撃を模した訓練メールを用いて社員が標的型攻撃メールにどう対応すべきかを体験的に学ぶことができるサービスです。訓練後にはeラーニングによる教育を実施し、属人化を防ぎながら教育内容の均質化を図ります。これにより、社員の「気付き」と「緊張感」を自然に醸成し、誤操作やヒューマンエラーによる情報漏えいリスク軽減につながります。
\制度への疑問についてもぜひご相談ください/
