サプライチェーンセキュリティを強化するための新たな制度として「サプライチェーン強化に向けたセキュリティ対策評価制度(仮称)」が導入される予定です。近年、サプライチェーンを経由したサイバー攻撃が増加しており、政府機関や重要インフラ事業者だけでなく、取引先企業にも高いセキュリティ水準が求められています。本記事では、この制度の概要やスケジュール、企業が今から準備すべきポイントについてご紹介します。
なお、本記事は2025年10月時点の公開情報に基づいて作成しており、今後、制度導入準備の進展に伴って内容が予告なく変更される可能性があります。最新情報については、経済産業省公式ウェブサイトをご確認ください。
サプライチェーン強化に向けたセキュリティ対策評価制度とは
経済産業省が策定を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度」とは、企業のセキュリティ対策を段階的に評価してサプライチェーン全体の安全性を高めることを目的とした制度です。この制度では、企業ごとのセキュリティ対策を★3から★5までの段階で評価します。評価指標で可視化されるため、企業は自社の対策状況を客観的に把握でき、取引先との信頼関係向上にもつながると期待されています。
制度が求められる背景と課題
近年、多くの企業(中小企業を含む)がサプライチェーンの一部として組み込まれていますが、そのサプライチェーン経由で情報漏えいや事業継続に関するインシデントが増加しています。現在の課題としては、複雑なサプライチェーン内で取引先ごとに異なる要求が存在し、発注企業が各取引先のセキュリティ対策状況を正確に把握しにくい点が挙げられます。また、特に中小企業などの受注企業には過度な負担がかかっていることが、サプライチェーン全体のセキュリティ水準の向上を妨げています。
評価レベル(★3・★4)の概要と位置づけ
 |
本制度は、セキュリティアクション(一つ星・二つ星)と比較して上位の水準であり、ISO27000シリーズ(ISMS)や自工会・部工会ガイドラインLV3などの国際的・業界基準と比べると、中間的な位置づけとなります。 サプライチェーン内の事業者が最低限実装すべきセキュリティ対策レベルとして★3と設定されており、標準的な到達目標として★4が提示されています。 |
対象範囲と適用の考え方
 |
この制度の対象はサプライチェーンを構成する企業のIT基盤全体です。オンプレミスだけでなくクラウド環境で運用されるシステムも対象となります。 |
製造現場の制御(OT)システムや発注先に提供する製品など、一般的にIT基盤とはみなされないものについては、本制度の主たる対象外とされています。ただし、他の制度やガイドライン等に基づき、必要に応じて対策が講じられることが想定されています。ちなみに、サプライチェーン関連の事業者などから発注者の内部システムへ接続できる場合、リモート接続の境界部分も対象範囲となります。
★3か★4か、サプライヤー企業へ適用の考え方
サプライヤー企業へ制度を適用する際には、3種類のサプライチェーンリスクに基づき判断できるよう、取引先を★3または★4の評価段階に割り当てる方法が制度のモデル利用例(フロー分岐図)として提示されています。
確認のポイント
- 発注者の重要な機密情報を取引先のIT基盤で取り扱われる場合 →★4
- 取引先の事業中断が自社業務に許容できない遅延をもたらす場合 →★4
- 取引先環境から発注者の内部システムへの接続が可能な場合 →★4
- 1~3のいずれも該当しない場合 →★3
フロー分岐図
 |
ビジネスの観点から、まず、発注者の重要機密情報が取引先のIT基盤で取り扱われる場合は、評価は★4です。ここでいう重要機密情報とは、漏えい時に社会的信用の失墜や損害賠償などの訴訟リスクが生じる、ビジネスに重大な影響を及ぼす情報が想定されています。 一つ目の条件に該当しない場合は、取引先の事業中断が自社業務に重大な遅延をもたらすかどうかを判定基準とします。考慮すべき要素としては、製品やサービスの供給停止による自社への影響範囲があげられます。具体的には、同業他社からの代替調達可否や在庫確保の困難性などです。この場合も、評価は★4です。 |
二つ目の条件に当てはまらない場合は、取引先環境から発注者の内部システムへ接続可能かどうかが判断基準になります。可能であれば、評価は★4です。三つの条件にすべて当てはまらない場合は、評価は★3です。
なお、評価が★3の場合でも、適用段階を調整するための追加要素として、直近で当該取引先または同業他社などでインシデントが観測されたり、リスクの増大が懸念されたりする状況や、再委託先に自社にとって重要な事業者が含まれるかどうかも考慮されます。また、単発的・一過性の調達や市販品など、市場で簡単に代替可能な製品やサービスの調達で、重要度が相対的に低いものについては、当該評価フローの適用対象外とすることも考えられています。
評価スキームと認定方法
★3と★4の評価スキームは、英国のCyber Essentials(CE)や米国のCMMCの仕組みを参考に、設定されることが想定されています。
★3の場合
自己評価を基本としつつ、専門家による助言プロセスを取り入れる形が検討されています。
- 取得を希望する組織は、★3の要求事項に基づき自己評価を記入します。(必要に応じて、社内外の資格者の助言を得ることが想定)
- 社内外の資格者は、記入内容を評価し、要求事項に対する合否を判断します。
- 取得を希望する組織または社内外の資格者は、登録機関に評価結果を提出します。
- 登録機関は申請内容に問題が認められない場合に、台帳に登録し公開します。
※資格者として情報処理安全確保支援士に加え、セキュリティプレゼンターやITコーディネータなど、必要な知見や知識を有する者の活用が検討されており、社内に資格者がいない場合には、社外に評価を依頼することを想定されています。
★4の場合
主に技術的要件を中心に、一部項目で第三者による評価を実施する仕組みが想定されています。
- 認定機関は、評価機関および技術検証事業者を認定します。
- 取得を希望する組織は、★4の要求事項に基づき回答を準備します。
- 取得を希望する組織が、評価機関または技術検証事業者に、検証および評価を依頼します。
- 評価機関または技術検証事業者が、検証および評価を実施します。
- 評価結果を取得を希望する組織に通知し、認定機関に提出します。
- 認定機関は、合格とされた組織を台帳に登録し、公開します。
★4を「自己評価型」と「第三者評価型」に分ける案(★4/★4 plus)や評価の品質を保つための基準(評価者の要件や評価観点など)については、今後の実証事業や海外制度の動向、評価機関の体制などを踏まえて、検討が進められていく予定です。
有効期間
今後の実証事業や評価機関の状況などを踏まえつつ、引き続き精査が行われる予定ですが、中間とりまとめ資料によると、★3は有効期間を1年とし、毎年の点検により更新可能と想定されています。一方、★4は有効期間を3年とし、その期間中は年次の自己評価(結果を評価機関へ提出)を行い、3年に1回は第三者評価を受けることで更新できる仕組みが想定されています。
制度導入のスケジュール
2025年10月から2026年3月にかけて要求事項や評価基準、評価方法が決定される予定です。その後、2026年度上半期(4~9月)に制度導入の準備が進められる予定です。制度は2026年上半期(4~9月)に開始される予定ですが、自社で取得したほうがよいかどうか、自社の目指すべき評価レベルや現在のセキュリティ対策状況を確認するなど、早めの準備が重要です。
まとめ
本記事では、サプライチェーン強化に向けたセキュリティ対策評価制度の概要をご紹介しました。自社が★3や★4の認証取得を目指すべきかどうかを検討しつつ、現在のセキュリティ対策状況を確認することをおすすめします。まだ実装できていないセキュリティ対策がありましたら、JBサービス株式会社がお力になれるかもしれません。
JBサービス株式会社では、24時間365日体制で稼働する運用センターSMACを運営しており、その中には認定ホワイトハッカーを中心としたセキュリティ専門チームによるSOC(Security Operation Center)を設置しています。
さまざまなセキュリティ対策製品の導入支援や運用サービスを提供しており、JBサービスのセキュリティ運用サービスは「情報セキュリティサービス基準適合サービスリスト」にも登録されています。
サプライチェーン強化に向けたセキュリティ対策評価制度への登録を見据え、セキュリティ体制の強化をご検討中でしたら、ぜひJBサービスまでご相談ください。
