経産省は「サプライチェーン強化に向けたセキュリティ対策評価制度」について、2026年下期(10月以降)にその一部について運用を開始するべく検討を進めている。
どういった制度か
- サプライチェーン組織を通じたサイバー攻撃が増加しており、物品やサービスの発注者は受注者のセキュリティ対策状況を把握する必要性が高まっている。その一方でその対策状況を可視化するためには、発注者と受注者の双方に大きな負担がかかる。
- その対策として、経産省はサプライチェーン企業に求めるサイバーセキュリティ対策の段階を定義した制度を検討中である。(一部)制度の運用開始は2026年10月以降が想定されている。
なぜ重要か
- サプライチェーンを構成する全ての組織に対して、恩恵などの影響があるため。
発注者は受注者によるセキュリティ対策状況が可視化でき、比較的少ない労力でリスクを管理できるようになる。 - 受注者は自社のセキュリティ対策状況の可視化により、その調査に対して自社の取り組みを効率的に説明できるようになる可能性がある。一方で、早ければ2027年度の取引の条件として本制度が参照される可能性があり、求められる評価段階(★4など)に満たない受注者は機会損失などの不利益を被る恐れがある。
本制度の成立に向けて、実施すべきことはなにか
- 発注者は、2025年度上期中などに、委託先管理プロセスや委託先とのネットワーク接続状況などを見直し、それらに求める評価段階(特定の条件を満たすと★4以上を求めるなど)を検討する。(時期は組織の規模などによる)
- 受注者は、2025年度内に目標とする評価段階を見極め、既存のセキュリティ対策状況との差分を分析し、段階的な対応計画を立案する。(同上)
本記事は、経産省の「サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ」の中間とりまとめ[1](2025年4月7日公表)などの情報をもとに、当社の見解を盛り込んで作成しています。
セキュリティ対策評価制度の概要
1-1.セキュリティ対策評価制度の背景と目的
近年、サプライチェーン組織を通じた情報漏えいやサービス停止に関するインシデントが増加しています。その中には、サプライチェーン組織との接続点の管理が不十分だったことから侵入を許し、救急受け入れなどを停止した大阪急性期・総合医療センターのインシデント[2]など、大きな影響のあるものも含まれています。
このような背景もあり、委託先におけるセキュリティ対策状況の把握を目的とした取り組みが、様々な業界で行われています。ただ、この取り組みは発注者と受注者の双方にとって、負荷が大変高いものになっています。たとえば、発注者にとっての負担は、数多くある委託先からセキュリティ対策状況の把握が必要な委託先の絞り込み作業や、把握に用いる調査項目の選定、委託先からの回答内容の精査などが挙げられます。一方で、受注者の負担には、調査項目が依頼主の属する業界によって異なることや、大量に依頼が届くことなどが挙げられます。
こうした状況に対応するため、経産省はサプライチェーンにおけるセキュリティ対策実施状況を比較的少ない負荷で可視化し、ひいてはサプライチェーン全体のセキュリティ対策水準を向上させることを目的とした新たな評価制度「サプライチェーン強化に向けたセキュリティ対策評価制度」の検討を進めています。この制度成立前後による変化の概要を次の表にまとめました。新制度の成立および活用により、業界によらず同一の要求項目を利用でき、発注者と受注者のそれぞれが負担削減などのメリットを得られます。
経産省による「サプライチェーン強化に向けたセキュリティ対策評価制度」の概要
1-2.セキュリティ対策評価制度で想定するリスクと対象のシステム
本制度は委託先などへのサイバー攻撃により生じるリスクを想定しています。この対象となるシステムは委託先などのIT基盤であり、一般的にIT基盤には該当しないと考えられる製造環境などの工場などのOTシステムは含まれません。
制度で想定するサプライチェーンセキュリティ上のリスク
- 委託先などへのサイバー攻撃などによる調達部品の供給遅延・停止やサービスの停止
- 委託先などへのサイバー攻撃などによる機密情報の漏えい・改ざん
- 委託先などを踏み台とした不正侵入
制度の対象となるシステム
- 委託先などのIT基盤
・インターネット接続のあるオンプレやクラウドの環境
・発注者のシステムへリモート接続できる場合はその境界を含む
制度の対象外となるシステムなど
- 製造環境などの制御(OT)システム
- 発注元などに提供する製品など
- ソフトウェア開発やIoT機器のセキュリティ(これらは別の評価制度・取組の対象)
セキュリティ対策評価制度で定義される対策段階と公開までの流れ
2-1.本制度で定義されるセキュリティ対策段階
IPAが実施するセキュリティ対策段階を自己宣言する制度である「SECURITY ACTION」では★1と★2が定義されており、経産省による「サプライチェーン強化に向けたセキュリティ対策評価制度」では、それに続く形で、★3、★4、★5の3つの対策段階が定義されます。
セキュリティ対策段階を示す★と実施すべき対策概要
このうち★5のスキームや運用開始時期などについては、ISMS適合性評価制度や海外の制度との整合性も含め、2025年度の下期(10月以降)に検討開始予定とのことであり、★3と★4については、2026年下期(10-3月)に運用開始が予定されています。
各対策段階で想定されている脅威や運用開始時期
また、★4について定義された対策事項への対応を求める委託先の考え方について、経産省では以下の3つの基準案が示されています。
表:★4の段階を求める委託先の絞り込み基準案
このいずれの観点にも合致しないサプライチェーン企業には★3を割り当て、必要に応じて(★は変えないまでも)対策要件の上乗せを行うといったような制度の活用が想定されています。
2-2.★3/★4として登録・公開されるまでの流れ
次の図の上部の表が示すように、受注者のうち★3や★4の取得を希望する組織がそれを認定され、公開されるまでには7つのプロセスが必要です。なお、評価主体である社内資格者、社外資格者、評価機関、技術検証事業者や政府機関についての詳細は、これから明らかにされるようです。
★3/★4の認定・公開に至る評価プロセス
2-3.セキュリティ対策評価制度の活用を期待する業界
制度を検討する上で、経産省は次の表の3つの層の7つの業界に、ヒアリングを行ったとされています。その結果によれば、金融、クレジット、半導体、主要製造業、保険、建設、BPO事業者、製品・部品製造事業者、中小企業のほぼすべてが、★3と★4の両方について、活用を期待できると回答していました。
経済産業省のヒアリング結果に基づく、本制度の活用に期待を寄せる業界
また、経産省は、制度が効果的と想定される業界などについては、活用を優先的に促すとの見解を示しています。そのため、少なくとも上記の業界に属する企業や、それらと取引のある企業は、★3や★4について情報収集などをしておく必要があると言えそうです。
セキュリティ対策評価制度の制度化スケジュールと実施すべき事項
★3と★4の運用開始が予定されている2026年下期(10月以降)までに、発注者と受注者がいつ何をすべきかを次の表にまとめました。
セキュリティ対策評価制度の制度化スケジュールと実施すべき事項
対応が必要なタイミングは組織の規模などにもよりますが、評価段階への到達や認定が遅れると機会損失などに繋がりうることが懸念されるため、組織の規模が大きい企業などにおいては、特に早く(現時点など)から、現状把握や予算確保を行うことを推奨します。
また、今後★5のような、サプライチェーン企業などが到達点として目指すべき対策を期待されうるような企業においても、まずは★4相当の評価段階に到達しているかの確認や、未到達の場合には対策ロードマップの検討を行うことを推奨します。
セキュリティ対策評価制度に対する当社の見解
4-1.制度の適用範囲と強制力
Q:自組織は本制度の対象になるか?
A:サプライチェーンを構成する企業であれば規模を問わず制度の対象であり、★3以上の評価段階の対策実施などが期待されます(前述の「制度の対象となるシステム」を有さない場合は除く)。なお、検討を進める中で、サプライチェーンの構成に含まれない組織についても制度の対象に含めるほうがよいという意見もでていたようです。
Q:海外の取引先にも適用されるか?
A:制度自体は日本国内向けですが、グローバルサプライチェーンの観点から海外の取引先にも同様の対策を求めるケースが出てくると予想されます。将来的には海外類似制度との相互認証も検討されています。
Q:この制度の強制力はどの程度か?
A:現時点で公開されている情報では、法的な強制力があるものではないようですが、業界内などで標準化されることが見込まれ、事実上の必須基準となる可能性があります。
Q:発注者は委託先だけでなく、再委託先なども管理するか?
A:いいえ、本制度ではそのようには設計されていません。発注者から★4以上の対応を依頼された委託先は、その委託先(つまり発注者にとっての再委託先)の管理が求められます。このような連鎖的な管理を想定した制度が設計されています。4-2.費用と効果
Q:制度対応にかかる費用の目安は?
A:費用は企業規模、現状のセキュリティレベル、目標とする段階などによって大きく異なります。主な費用要素として、セキュリティ対策の実装コスト(ツール導入、設定変更など)、体制整備コスト(人員確保、教育など)、評価受審コスト(第三者評価の場合)が考えられます。また、効率的な対応などのためにコンサルティングサービスの利用費用の計上も必要になる可能性があります。特に初期段階でのギャップ分析や対応計画立案においては、専門家の知見が大きな価値を生み出します。
Q:受注者が本制度に対策する際の投資対効果についてはどう考えればよいか?
A:取引の維持や拡大の機会損失回避、複数の受注者からの要求への一括対応による効率化、セキュリティインシデントによる損失リスクの低減という3つの観点での効果が期待できると考えられます。また、認定結果の公開方法の検討結果次第では、ブランドイメージの向上に繋げられる可能性もあると考えられます。
Q:本制度の対策にコンサルティングサービスを活用するメリットは?
A:コンサルティングサービスを活用することで、回答や自己評価の作成を効率的に行えるだけでなく、準拠に向けた伴走やロードマップの作成、教育や訓練などの支援が受けられます。また、サプライヤーに求める段階や実際に依頼するサプライヤーの絞り込みなどの計画も支援が受けられるため、限られたリソースで効果的に対応できます。
4-3.現在活用中の施策との調和
Q:自工会・部工会のガイドラインなど、先行する自己評価制度との整合性を取る動きはあるか?
A:「SECURITY ACTION」(★1、★2)、「自工会・部工会ガイドライン」や「ISMS適合性評価制度」などとは、相互補完的な制度として発展することが目指されています。また、評価制度の★3/★4 の要求項目は自工会・部工会のガイドラインと一定程度の整合性を確保することが示されており、連携のあり方については、運営団体とも議論を進めていくとのことです。中間とりまとめ時点ではこれ以上の情報がなく、今後の動向を確認する必要があります。
Q:既存の対策でどこまでカバーできるか?
A:既存の情報セキュリティマネジメントシステム(ISMS)や業界ガイドラインに準拠している場合、多くの要件をカバーできる可能性があります。現状のセキュリティ対策と制度要件のギャップ分析を行うことで、追加対応の範囲を明確にできます。その後、優先順位を明確にし、予算や人員などの計画を立案することが推奨されます。
NRIセキュアテクノロジーズが提供するサプライチェーン関連サービス
NRIセキュアテクノロジーズでは、サプライチェーンセキュリティの可視化と強化に向けたサービスを提供しています。
サプライチェーン セキュリティコンサルティング
サプライチェーンに関連する脅威を、シナリオやプロセスに着目してリスクベースで洗い出し、状況の可視化から対策の実施まで一貫して支援します。サードパーティ・サイバーセキュリティ・デューデリジェンスサービス
インシデントなどが発生したときに自社にもたらす影響が大きい受注者などを特定し、適切に管理したいという事業者様向けに状況の可視化からサードパーティのセキュリティリスク管理まで一貫して支援します。
Secure SketCH
サプライチェーンの取引前選定から状況可視化、継続的な改善活動と定期的な再評価を一元的に実施できるWebサービスです。外部からの自動診断とアンケートを組み合わせ、多面的かつ定量的な評価が可能です。
また、本制度に特化したサービスも提供するべく、サービス開発を行っています。サプライチェーンセキュリティや本制度への対応についてお悩みの方は、お気軽にお問い合わせください。
[1]https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html
[2]https://www.gh.opho.jp/pdf/report_v01.pdf
