はじめに
発注者から突然「★4を取得してください」と言われる前に
経産省が新たに導入を進める「サプライチェーン強化に向けたセキュリティ対策評価制度」により、企業のセキュリティ対策が段階的に評価・可視化される時代が到来します。
この制度では、発注者が受注者に提示する取引条件として、セキュリティ要件に、特定の段階(★3/★4/★5)を設定することが想定されており、2026年下期には★3/★4の運用が開始される予定です。つまり、受注者は発注者から突然「2027年度からセキュリティ要件として★4の取得を求めるので対応してください」と依頼される可能性があるのです。
まずは運用スケジュールを把握しましょう
経産省から制度の各段階の詳細情報が公開されており、想定される脅威や対策の考え方等が段階ごとに整理されています。
この中で、制度への準備という観点で特に注目すべきは、その運用開始時期です。
段階(★3-★5)ごとの要求・評価概要と運用開始時期
★3は計25項目について自己評価による準拠が求められます。一方、★4は、★3の項目に加えて、より高度な要求事項を含む計44項目について、第三者※による準拠評価が求められます。
いずれも2026年下期から運用開始予定であり、準備期間は実質1年半程度しかありません。
※第三者:認定機関から認定され、認証取得希望組織の回答をもとに検証・評価・通知を行う主体
あなたの会社は★4を求められる可能性が高いですか?
経産省が発注者向けに示している★4を求める受注者の基準案を確認すると、どのような企業が★4を求められるかが明確になっています。以下の項目が、自社に当てはまるかぜひチェックしてみましょう。
★4を求める受注者の基準案
この3つの観点のいずれかに該当する受注者は、発注者から★4の取得を求められる可能性が高いと考えられます。
該当する場合は、第三者評価による44項目の厳格な審査に対応できる体制づくりが急務となります。
本記事でお伝えしたいこと
本記事では、より高度な対策が求められ、厳格な審査が設けられている★4にフォーカスします。★4の取得に向けた活動で課題となりやすいポイントや、取得を希望する組織が今のうちから準備しておくべきことについて解説します。
本記事をお読みいただく上での注意点
本記事は、経産省の「サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ」の中間とりまとめ[1](2025年4月14日公表)などの情報をもとに、当社の見解を盛り込んで作成しています。
特に本記事の中で、言及している要求事項の解説などについては、中間とりまとめにて公表された「★3・★4要求事項案・評価基準案」[2]の情報をもとに記載しています。今後、要求事項の確定に際し、内容が変更される可能性がある点にはご留意ください。
なお、本制度全体に関する詳細を知りたい方は、併せて、経産省「サプライチェーン強化に向けたセキュリティ対策評価制度」対応ガイド|2026年度の運用開始に向けて実施すべき事項とタイミング[3]をお読みいただけると幸いです。
まずはここから! ★4で求められる44つの要求事項とは?
★4段階の企業が到達すべき状態は、「初期侵入の防御に留まらず、被害拡大防止策・攻撃者の目的遂行のリスク低減策の実施により、取引先の情報資産の保護、サプライチェーンにおける自社の役割に応じた事業継続が可能な状態」とされています。
★4の要求事項は、計44項目が検討されており、★4の取得を希望する企業には、下表の通り、ガバナンス、取引先管理、攻撃等の防御・検知、インシデント対応など、包括的な対策が求められる見込みです。
★4の要求事項の概要
|
大分類 |
中分類 |
概要 |
|
ガバナンスの整備 |
組織的文脈 |
自社に適用される法令・所管基準・取引先要求を把握したうえで社内ルールを策定することを求める。さらに各ソースの改定状況を、社内ルールに定期的に反映し、教育・周知まで行うことを求める。 |
|
役割/責任/権限 |
セキュリティに関する役割(役員/担当部署)明確化と、セキュリティ推進活動に必要な連絡体制の整備を求める。 |
|
|
ポリシー |
自社のセキュリティ対応方針の策定と周知を求める。 |
|
|
監督 |
自社のセキュリティ対策状況を定期的に確認し、実態に関して経営層へ報告を行うことを求める。 |
|
|
取引先 |
サイバーセキュリティ |
取引先との間で、機密情報の取扱いと、インシデント発生時の役割・責任を事前に明確化することを求める。 |
|
リスクの |
資産管理 |
自社の情報資産(機器・情報含め)や、外部とのネットワーク接続に関する情報を一元化することを求める。 |
|
リスクアセスメント |
脆弱性情報の収集と対応に関する体制を定めるかつ、対応状況の管理を行うことを求める。 |
|
|
攻撃等の 防御 |
アイデンティティ管理とアクセス制御 |
IDに関する管理(手続き/アクセス権/認証)を適切に行うことを求める。 |
|
意識向上及びトレーニング |
派遣社員等を含む各役職員に対し、平時・有事のセキュリティ意識向上に資する教育・研修を実施を求める。 |
|
|
データセキュリティ |
データの保管、転送に関するルールの策定・周知を求める。 |
|
|
プラットフォームセキュリティ |
不要なソフトウェアやサービスの削除・無効化、OS・ソフトウェアのバージョン管理、システムのログ取得とレビュー、各情報機器へのウイルス対策ソフトの導入を求める。 |
|
|
技術インフラのレジリエンス |
内外のネットワークを適切に分離し、境界部分を防護することを求める。 |
|
|
攻撃等の 検知 |
継続的モニタリング |
ネットワーク機器やエンドポイントの異常に対する監視体制を構築することを求める。 |
|
有害イベントの分析 |
セキュリティインシデントとして扱う対象範囲を明確にしたうえで、アラートに対するインシデント判断の体制を構築することを求める。 |
|
|
インシデントへの対応 |
インシデントマネジメント |
セキュリティインシデントの対応手順や報告フォーマットを事前に作成しておくことを求める。 |
|
インシデントからの復旧 |
インシデント復旧計画の実行 |
事業継続上重要なシステムについて、事業継続の要件を踏まえて復旧目標点(RTO,RPO)を定めたうえで、それを満たすバックアップ取得や、リストアの準備を求める。 |
なお、★4の要求事項は計44項目とされていますが、各項目の評価基準には、複数の対策が含まれている点に注意が必要です。当社では44項目を細分化し、約150項目に整理しています。
例えば、★4 No.3「サイバー攻撃や予兆を監視・分析をする体制を整備すること。」は、以下の2項目に細分化されます。
- サイバー攻撃や脆弱性に関する公開情報、非公開情報を活用する体制を構築すること
- 入手した情報やログの相関分析等により、サイバー攻撃の予兆やインシデントの発生の検知を可能とし、適切な対応が導き出せる体制を構築すること
データから見える、★4の取得を阻む壁はどこだ ?
★4の要求事項を把握した後は、次にどのように対応を進めるべきでしょうか。
その検討にあたっては、★4の取得に向けた活動で課題となりやすいポイントを理解しておくことが重要です。
Secure SketCH[4]のセキュリティ対策状況データを基にした分析
まず、公開されている★4の要求事項の中で、各企業が準拠できていない傾向がある要求事項を、当社のセキュリティ評価サービス “Secure SketCH” を利用する企業のうち、約1,300社の匿名化済みデータを用いて導出しました。さらに、その要求事項への準拠において課題となりやすいポイントを、当社コンサルタントの知見を踏まえて分析しました。下表ではその一部をご紹介いたします。
Secure SketCHの統計データにもとづく
各企業が準拠できていない傾向がある要求事項と、その要求事項の準拠において課題となりやすいポイント
|
大分類 |
|
各企業が準拠できていない 傾向がある要求事項 |
要求事項の準拠において課題となりやすいポイント |
分類 |
|||
|
専門 スキルの不足 |
運用 負荷の 増大 |
技術/機能的な制約 |
組織間 調整の 発生 |
||||
|
★4 No. |
要求事項の「評価基準」の一部 |
||||||
|
ガバナンスの整備 |
3 |
サイバー攻撃や脆弱性に関する情報の活用や、ログの相関分析等により、攻撃の予兆やインシデントの検知を行うことを要求。 |
定期的な情報収集と影響分析には、運用工数と専門スキルが必要。さらに相関分析のためには、SIEM等のソリューションが必要。 |
〇 |
〇 |
〇 |
|
|
取引先 |
9/ |
取引先への預託情報の取り扱いに関する要件の提示や、インシデント報告義務や責任分界について明確化を要求。 |
既存契約の改訂が必要になり、法務や取引先との調整が必要。 |
〇 |
|||
|
10 |
預託情報の重要度、事業継続上の重要度、システム連携有無を踏まえ、管理が必要な取引先に対する評価を、年次で要求。 |
評価対象の選定に専門スキルが必要。また年次評価の運用負荷が高く、さらに、取引先、調達部門や事業部門との調整が必要。 |
〇 |
〇 |
〇 |
||
|
12 |
機密情報を預託する企業に、回収・破棄すべき機密情報やアクセス権のチェックシートを渡し、回収・破棄させることを要求。 |
取引先ごとの預託情報の棚卸し、チェックに大きな手間がかかる。さらに、取引先、調達部門や事業部門との調整が必要。 |
〇 |
〇 |
|||
|
リスクの |
15 |
外部情報システム(クラウドサービス含め)の利用にあたって、セキュリティ要件を定め、申請・承認のプロセスを設けることを要求。 |
外部情報システムのセキュリティ要件設計に専門スキルが必要。また都度申請されたシステムに対し承認判断をする運用負荷が高い。 |
〇 |
〇 |
||
|
攻撃等の 防御 |
28 |
役職員に対してセキュリティインシデント発生時の対応に関する教育・訓練を、新規受け入れ時、年次で実施することを要求。 |
前提となるインシデント対応体制、対応手順の策定や、教育や訓練の設計に専門スキルが必要。また年次実施の運用負荷も高い。 |
〇 |
〇 |
||
|
35 |
情報機器やシステムに関するログ取得と、 |
クラウドサービスのログ要件不適合により、 |
〇 |
〇 |
|||
|
攻撃等の 検知 |
40 |
機器のログが単独または統合確認され、異常検知と即時アラート/速報がされることと、受領時のインシデント判断を行うことを要求。 |
閾値調整に専門スキルが必要かつ、アラート対応の運用負荷が高い。また運用効率化には、SIEMやSOAR等のソリューションが必要。 |
〇 |
〇 |
〇 |
|
本制度に関するコンサルティング支援の実績を基にした分析
次に、当社コンサルティング部門で実施している、「各社の対策状況と★4要求事項のギャップ分析」の支援実績を踏まえて、各企業が準拠できていない傾向がある要求事項と、その準拠において課題となりやすいポイントを分析しました。下表では、先に挙げた項目と重複を避け、一部をご紹介いたします。
コンサルティング支援の実績にもとづく
各企業が準拠できていない傾向がある要求事項と、その要求事項の準拠において課題となりやすいポイント
|
大分類 |
|
各企業が準拠できていない傾向がある要求事項 |
要求事項の準拠において |
分類 |
|||
|
専門 スキルの不足 |
運用 負荷の 増大 |
技術/機能的な制約 |
組織間 調整の 発生 |
||||
|
★4 No. |
要求事項の「評価基準」の一部 |
||||||
|
ガバナンスの整備 |
1 |
関係法令/基準/取引先要求のトラッキングや、社内規程の変更、(変更があれば)教育・周知までを、年次で要求。 |
法務との情報連携プロセスを定める必要がある。社内規定の変更プロセスを年次で行う必要があるため、運用負荷が高い。 |
〇 |
〇 |
||
|
6 |
情報管理ルールの遵守状況、ネットワーク図、高機密資産一覧、ID、教育・訓練、持込/持出ルール等の棚卸しを年次で要求。 |
各セキュリティ対策、文書を年次で見直し、最新化する必要があり、運用負荷が高い。 |
〇 |
||||
|
リスクの |
13 |
適用範囲内のPC、シンクラ、(仮想)サーバ、ハイパーバイザ、スマートデバイスに関して、製造元、OS、台数の一覧化を要求。 |
資産管理のソリューション導入が必要。さらにツールで管理できない資産は、手動で追加・更新が必要になり運用負荷が高い。 |
〇 |
〇 |
||
|
16 |
機密区分に応じた情報の取り扱い方法を定め、文書化することを要求。 |
ベストプラクティスを踏まえた情報の取り扱い方法の検討に専門スキルが必要。また機密度を定義するコンプラ部門等との調整が必要。 |
〇 |
〇 |
|||
|
17 |
脆弱性収集の情報源・頻度等や、適用判断基準を定める必要がある。また対応履歴の月次チェックを要求。 |
情報収集、対応履歴確認の運用負荷が高い。脆弱性の適用判断基準の策定には専門スキルや、システム管理部門との調整が必要。 |
〇 |
〇 |
〇 |
||
|
攻撃等の 防御 |
20 |
重要な情報を取扱う全てのクラウドサービスへのアクセスにおいて多要素認証を使用することを要求。 |
重要な情報を取り扱うクラウドサービスの中に多要素認証機能を搭載していないものがあれば、他クラウドへの乗り換え等が必要。 |
〇 |
|||
|
32 |
事業継続上重要なシステムについて、復旧目標(RTO,RPO等)に適合するバックアップ取得・復元チェックを要求。 |
事業継続上重要なシステムの復旧目標の策定に専門的スキルが必要かつ、事業部門や総務との調整が必要。 |
〇 |
〇 |
〇 |
||
|
36 |
適用範囲内のシステム、情報機器、ソフトウェアは高リスクな脆弱性について、パッチリリース後14日以内に適用を行うことを要求。 |
脆弱性の情報収集と14日以内のパッチ適用は運用負荷が高い。またサポート切れシステムのリプレースが必要になる可能性がある。 |
〇 |
〇 |
|||
分析結果を踏まえた総括
上記の分析の結果から、★4の取得に向けた活動で課題となりやすいポイントは以下であると言えます。
★4の取得に向けた活動で課題となりやすいポイント
例えば、「取引先管理」の要求事項は、取引先のセキュリティ評価に係る専門スキルや運用負荷のかかる対応が求められるだけでなく、取引先一覧・契約内容、預託情報の返却・廃棄の管理における法務部門や事業部門との組織間の調整が不可欠であり、対策の推進は容易ではありません。
他にも「攻撃等の防御」の要求事項は、現在利用しているシステムやソリューションに起因する技術的・機能的な制約に加え、定期的な点検等による運用負荷の増加が課題となり、こちらも対策の推進が難しいといえます。
2026年に慌てないため、今すべきアクションは?
★4の運用開始時期の2026年下期に向けて、まずは、自社の現状のセキュリティ対策状況を把握し、★4の要求事項とのギャップを分析することが重要です。
次に、前述の「★4の取得に向けた活動で課題となりやすいポイント」への対応を進めながら、ギャップのある要求事項の準拠に向けた活動を推進していく必要があります。
なお、下表で例示した、「★4の取得に向けた活動で課題となりやすいポイント」への対応は、いずれも一朝一夕で実現できるものではないため、早めに取り掛かることが重要です。
★4の取得に向けた活動で課題となりやすいポイントへの対応例
前述の★4の取得に向けた「ギャップ分析」や、「ギャップのある要求事項の準拠に向けた活動」にあたり、特に外部サービスを利用する場合は、金銭的なコストが発生します。
2026年下期に★4の運用開始が想定されていることを踏まえると、今のうちから来年度予算の中に、本制度対応のための費用を計上しておくことが重要になると考えられます。
なお、本ブログの主な解説範囲は★4のため補足の情報にはなりますが、先ほど解説した★4の「各企業が準拠できていない傾向がある要求事項」の中には、★3でも要求される事項が多数含まれております。
さらに ★3の要求事項には、すべてのユーザIDに関する要求事項(★3 No.13)や、すべてのファイアウォールに関する要求事項(★3 No.23)など、対応が必要な範囲が広いものが多くあります。
このことから、★3の取得難易度も決して低くないと考えており、★3の取得を目指す企業においても、早期から対応を進めていただくことを強く推奨します。
まとめ
2026年下期の制度運用開始に向けて、実際に★4の取得を希望するお客様から多くのお問い合わせをいただきつつあります。お客様の中には、既にギャップ分析や、予算取りを実施いただいている企業もあり、制度開始に向けて各社の温度感は確実に高まっています。
当社への本制度に関するお問い合わせの一部
- サプライチェーン評価制度の要求事項をもとに自社で評価しているが、どこまで実施すれば評価基準を満たすのか。
- 現状予算取りを検討してるが、NRIセキュアにてギャップ分析を実施すると費用はどのくらいになるのか。
- 他社がどのように本制度に対応しているか、他社において対応が難しい設問はどのようなものか。
このような状況を踏まえ、本制度への対応が遅れることで機会損失を招かないようにすることが重要です。★4の取得を目指す企業は、ギャップ分析や、ギャップのある要求事項の準拠に向けた活動、本制度に関する予算の確保といった対応を進めておきましょう。早期対応が、制度開始時のスムーズな運用と競争優位の確保につながります。
NRIセキュアテクノロジーズの本制度への取り組み
当社では、本制度の発注者・受注者、どちらの立場での活用についても、ご支援することが可能です。
具体的には以下を提供しています。
- 各段階(★3-★5)を目指すお客様向けに、ギャップ分析支援や各種テーマの推進に関するコンサルティング支援
(文書策定、体制構築、教育・訓練等) - 発注者様向けに、発注時の取引要件としてどの受注者にどの段階(★3-★5)を求めるかの基準策定に関するコンサルティング支援
また、この度、当社のセキュリティ評価SaaSサービスであるSecure SketCHでは、お客様の現状のセキュリティ対策状況の把握と、各段階の要求事項とのギャップ分析に活用いただけるよう、機能を追加いたしました。
こちらについて詳しく知りたい方は「経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度(中間取りまとめ)」をガイドラインチェック機能でご利用いただけるようになりました!」[5]をご確認ください。
なお、弊社は、本制度における★4、★5の評価主体を目指した活動も行っております。
本制度への対応についてお悩みの方は、ぜひNRIセキュアまでお気軽にお問い合わせください。
[1] サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ(METI/経済産業省)
[3] 経産省「サプライチェーン強化に向けたセキュリティ対策評価制度」対応ガイド|2026年度の運用開始に向けて実施すべき事項とタイミング|ブログ|NRIセキュア
[4] Secure SketCH|セキュリティ評価を「得点」や「偏差値」で見える化
[5] 「経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度 (中間取りまとめ)」をガイドラインチェック機能でご利用いただけるようになりました!
