新たなセキュリティ評価制度とは?
デジタル化の進展とともに、企業のサプライチェーンにおけるサイバーセキュリティリスクが深刻化しています。2025年4月14日、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間とりまとめ」を公開しました。
ここでは、今後の日本のサプライチェーンセキュリティ強化に向けた具体的な方針が示されています。今回は、そのポイントと企業が今後取るべき対応についてまとめてみます。
目次
なぜ今、サプライチェーンセキュリティなのか
IPAが毎年公開している「情報セキュリティ10大脅威」でも「サプライチェーンや委託先を狙った攻撃」は7年連続で取り上げられています。
直接的な攻撃が困難な大企業に対し、委託先を経由した攻撃が増加したり、巧妙化した攻撃に対応するためにセキュリティ対策を行う必要がありますが、外部からは関連するすべての企業の対策状況を把握することが難しいといった課題がありました。
そこで今回の取り組みでは、サプライチェーン全体のセキュリティ対策の評価をどのように行うか、現時点での方向性が示されています。これらが進められることで、セキュリティ基準の明確化やリスク軽減などのメリットにつながります。
新しい制度の特徴と内容は?
3段階でレベル分け
今回の制度では、企業のセキュリティレベルを「★3」「★4」「★5」の3段階で評価する予定です。
★3:最低限実装すべきセキュリティ対策
一般的なサイバー攻撃に対する基本的な対策の実施を想定しています。組織内におけるセキュリティ対策の役割や責任が定義されているか、問題が起こった時の報告・共有手順が決まっているかなどがポイントになります。
★4:標準的に目指すべきセキュリティ対策
サプライチェーン全体への影響をもたらすような攻撃に対して、包括的な対策を想定しています。★3よりも組織的に継続的な改善を図っているか、事業継続に向けた取り組みなどが重要になってきます。
★5:到達点として目指すべき対策
未知の攻撃も含めた高度な攻撃への対策が必要とされます。自社だけでなく、サプライチェーン全体を巻き込んだセキュリティ水準向上が求められます。
今から始めるセキュリティ体制
先ほどご紹介した新制度は2026年の制度開始を目指しているもので、まだ検討中の項目もあります(そのため、ここでご紹介した内容から変更になることもあります)。
制度の詳細が固まるまでの間に、新制度の前段階となる「Security Action」への取り組みを始めてみてはいかがでしょうか。
Security Actionとは?
「そういえばSecurity Actionって聞いたことあるけど...」という方のために簡単におさらいです。
Security ActionはIPAが運営している制度で、主に中小企業向けのセキュリティ取り組み支援制度です。「★一つ星」と「★★二つ星」があり、最近ではSecurity Actionの宣言をしていることが補助金の申請条件に含まれていることもあります。
新制度との関係は?
サプライチェーンの対策評価制度は、「Security Action」をはじめとする先行する評価体制と相互補完的に発展することを目指しています。
・Security Action = セキュリティ対策の「入門編」(★3、★4の準備段階)
・新制度 = セキュリティ対策の「本格編」
サイバー攻撃が進化する中、これらの宣言を実施していることは、セキュリティへの取り組みを示すものとなります。
まずは慌てずに情報収集から始めて、自社の状況に合わせて準備を進めていきましょう。
参考情報
ご質問・ご相談に関しては
こちらからお問い合わせください。
