2026年開始のセキュリティ対策評価制度。事前に取り組める「SECURITY ACTION宣言」とは？2025年の崖 vol.4：セキュリティ対策評価制度／SECURITY ACTION セキュリティ対策自己宣言

中小企業を標的としたサイバー攻撃やサプライチェーン攻撃が激化する中、2026年に経済産業省主導の「セキュリティ対策評価制度」がスタートする予定です。
制定の背景には、各企業が“自社なり”にセキュリティ対策を講じており、企業間での評価基準があいまいになっている点が挙げられます。
そこで経済産業省が統一的な基準を設け、企業間のやり取りを円滑にしようとしているのが「セキュリティ対策評価制度」です。
2025年の崖シリーズ第4弾となる本記事では、セキュリティ対策評価制度の本格運用を見据え、概要や取り組みのポイントについて解説します。

「取引先のセキュリティ対策は大丈夫だろうか」「自社のセキュリティレベルをどう証明すればいいのか」こうした悩みを抱える企業のために経済産業省が新たな制度を開始します。

2025年4月、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」を発表しました。2026年度の制度開始を目指しています。

同制度は、企業の立ち位置に応じたセキュリティ対策状況を5段階の★マークで見える化するものです。サプライチェーンにおける重要性や影響度に応じて三つ星、四つ星、五つ星に分けて評価します。

評価項目は「ガバナンス整備、取引先管理、リスクの特定、システムの防御、攻撃等の検知、インシデントの対応・復旧」といった観点から構成され、米国NISTの「Cybersecurity Framework 2.0」等の国際基準に準拠しています。

サイバー攻撃が高度化・多様化している中で、自社はもちろん、取引先に対してもセキュリティ対策を求めることが今や当たり前になりつつあります。

しかし、セキュリティ対策の取り組み状況について客観的に評価、証明することが難しい状況が続いています。具体的には受注企業が自社のセキュリティレベルを証明する手段が限られており、一方の発注企業も取引先のセキュリティ状況を外部から把握することが難しいのが現状です。

特にサプライチェーンにおいては、受注企業が取引先ごとに異なるセキュリティ対策の基準に対応しなければならないという課題も浮き彫りになっています。

IPAの「情報セキュリティ10大脅威の順位変動」によると、「サプライチェーンの弱点を悪用した攻撃」は2019年から毎年上位にランクインし、2023年、2024年は第2位となりました。サプライチェーンにおけるセキュリティ対策の重要性は年々高まっていることがわかります。

では、セキュリティ対策評価制度を導入することで、どのようなメリットがあるのでしょうか？
中小企業においては、自社のリスクレベルに応じたセキュリティ対策を決定、実施できるようになり、取引先への信頼獲得等の効果が期待されています。発注企業も受注企業に対して求めるセキュリティ水準を示しやすく、その対策を促すとともに実施状況を確認できるようになります。

サプライチェーン強化に向けたセキュリティ対策評価制度が本格的にスタートするのは2026年ですが、外部に向けてセキュリティ基準を示すために、2026年までに取り組み始めることができる「SECURITY ACTION セキュリティ対策自己宣言（以降、SECURITY ACTION宣言）」というものがすでに2017年からスタートしています。

この制度は、経済産業省所管の「IPA（独立行政法人 情報処理推進機構）」が設けた自己宣言制度です。

IPAがセキュリティ基準を認定するものではなく、中小企業自らがセキュリティ対策に取り組むことを宣言することで、国内におけるセキュリティ対策の普及・啓発を図ることが主な目的です。

この制度は、企業が自社のセキュリティ対策を段階的に向上させるための入口として位置づけられています。セキュリティ対策評価制度は三つ星~五つ星を認定の対象としますが、SECURITY ACTION宣言はその前段階である一つ星~二つ星を補完するものです。三つ星以上と比べて初歩的なもので取り組みやすくなっています。

宣言するメリットの一つに、デジタル化やサイバーセキュリティ対策などを支援する補助金の申請要件になる点も挙げられます。

SECURITY ACTION宣言の申込みは、IPAの専用フォームから行います。まず個人情報の取扱いとロゴマーク使用規約に同意し、一つ星または二つ星のいずれかを選択。続いて担当者情報と事業者情報を入力します。

申込み直後に受付確認メールが届き、約1週間後に自己宣言IDの通知、さらに1~2週間後にロゴマークの使用許諾とダウンロード用パスワードが送付されます。その後、宣言事業者一覧にも掲載されます。

どのような条件を満たす必要があるのか、それぞれ解説します。

一つ星では「情報セキュリティ5か条」への取り組みを宣言します。

これらは基本中の基本ともいえる対策ですが、意外にも完全に実施できている企業は多くありません。一つ星宣言は、まさにセキュリティ対策の土台固めといえます。

Windows Updateやソフトウェア・アップデートの実行、ウイルス対策ソフトの導入とウイルス定義ファイルの更新、パスワードの「長く・複雑に・使い回さない」ルールの徹底が求められます。

また、Webサービスやネットワーク接続の複合機・ハードディスクなどの共有範囲を限定し、従業員の異動・退職時の速やかな設定の変更・削除も欠かせません。なりすましによるウイルスメールの送付や偽サイトへの誘導など最新の手口を知ることも重要です。

二つ星では「5分でできる！情報セキュリティ自社診断」の実施と、「情報セキュリティ基本方針」の策定・外部公開をする必要があります。

情報セキュリティ自社診断は、25項目に回答することで、自社の現状把握ができるツールです。一つ星と同じ5項目に加え、従業員としての対策（13項目）、組織としての対策（7項目）の3パートで構成され、「実施している」「一部実施している」「実施していない」「わからない」の4段階で評価します。

続いて、自社の情報セキュリティに対する理念、指針、原則、目標等を明文化した方針書を作成し、ホームページや会社案内、パンフレットなどで外部に公開します。

ここでは、情報セキュリティ自社診断の25項目から、自社や外部サービスを活用することで取り組みやすい5項目をピックアップして紹介します。

特に、ウイルス対策や機密データのバックアップについては、それらを提供している外部サービスなどを活用することで、すぐに取り組むことが可能です。

SECURITY ACTION宣言を検討している企業からは、次のような声も寄せられています。

「申請プロセスが複雑でどう進めたら良いかわからない」
「IT知識が不足していて自社分析や対策方法が検討しにくい」
「ポリシーを作成したけれど、作成方法が合っているか不安」
「セキュリティ対策のためにIT投資をするにも、選択肢が多く、どのように投資計画を立てればよいかわからない」

宣言できている企業は、これらの課題をどのように乗り越えているのでしょうか。

実は、社内リソースにも限界があるため、自社だけで完結しているケースは稀です。セキュリティの専門家によるヒアリング支援、ポリシー作成の指導、投資計画の立案といったサポートを外部から受けている企業が増えています。

一般的なサポート例

まず、二つ星宣言で必要な実施内容を手順等も踏まえて丁寧に説明し、申請プロセス全体をまるごと理解できるよう支援します。

自社診断については、25項目について専門家がヒアリングを実施。より正確な分析ができるようサポートし、報告会で診断結果から見えてきた改善策を案内します。

セキュリティポリシーの策定では、基礎から作り方を指導し、単なる書類作成にとどまらず、ポリシー作成を通じて社内のセキュリティ意識向上にもつなげています。

自社診断の結果をもとにセキュリティ対策のためのIT投資を行う際、今後の投資計画策定に役立つ具体的なアドバイスを提供。「IT投資の選択肢が多くて何から始めればいいかわからない」状態から、明確な行動計画を持てるようサポートしています。

このように専門家の支援を受けることで、中小企業でもSECURITY ACTION宣言を確実に達成できます。

2026年の本格的な制度開始に向けて、まずはSECURITY ACTION宣言から始めることで一歩ずつセキュリティ対策を強化していくことが重要です。SECURITY ACTION宣言に関わる取り組みだけでなく、企業全般のセキュリティ対策の検討や実施についてお悩みの方は、キヤノンマーケティングジャパンまでご相談ください。ヒアリングから対策、宣言までサポートいたします。