製品紹介バナー

はじめに

近年、企業のセキュリティ対策は「自社だけ守ればよい」という時代から、「取引先やサプライチェーン全体で守る」時代へと変わりつつあります。背景には、サプライチェーンを狙ったサイバー攻撃の急増があります。取引先のセキュリティが甘ければ、自社もリスクにさらされる――こうした現状を受け、経済産業省や関連機関が中心となり、企業のセキュリティ格付けを行う「セキュリティ対策評価制度」の検討が進められています。
本記事では、セキュリティ格付けの定義や目的、今後のスケジュール、そして企業が今できることをわかりやすく解説します。

この記事の目次

  1. セキュリティ格付けとは
  2. 格付けの仕組み
  3. 今後のスケジュール
  4. 今できること
    1. 現状把握
    2. 必要なツールの導入
    3. 社内教育
  5. おわりに
サプライチェーンを守る新常識!セキュリティ対策評価制度を徹底解説 サムネイル

セキュリティ格付けとは

セキュリティ格付け制度は、現段階での公式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」といいます。企業のセキュリティ対策レベルを一定の基準で評価し、可視化する仕組みです。これにより、発注側は取引先のセキュリティ水準を簡単に把握でき、受注側は毎回異なるチェックシート対応の負担を減らせます。

これが必要となった背景として、特にサプライチェーン攻撃の増加が挙げられます。直近でも、基幹システムのランサムウェア感染によってシステム障害が発生し、配送を担当している子会社でも障害が発生、これによって請け負っている取引先のサービスにも影響が広がった事例がありました。

企業間でセキュリティ対策のばらつきが大きいこと、発注企業には相手先の企業が「どこまで対策しているか」が見えず、受注企業は「毎回異なるセキュリティチェックシート」に対応しなければなりません。
こうした課題を解決するため、共通の評価制度が必要とされているのです。

格付けの仕組み

この制度では、セキュリティ対策を段階的に評価します。現時点で検討されているのは以下の5段階です。

★1、★2:IPA独立行政法人が提供する「SECURITY ACTION」に基づく自己宣言レベル
★3 Basic:基礎的なシステム防御策と体制整備を中心とした最低限の対策(自己評価、25項目)
★4 Standard:組織ガバナンス・取引先管理、システム防御・検知、インシデント対応といった標準的な包括対策(第三者評価、44項目)
★5 Advanced:国際規格にも用いられるリスクベースの考え方に基づく対策(第三者評価、項目は詳細検討中)

★3以上が今回の新制度の対象で、企業規模や業界に応じて取得が期待されています。 ★3、★4を取得し、公開を希望した企業は公表され、発注企業はリストを参照すれば受注企業が評価を受けているか、どの評価を獲得しているかを確認することができます。

今後のスケジュール

現在公開されている中間取りまとめでは、以下のスケジュールが予定されています。

★1〜★5
2025年11月ごろ:制度構築方針案公表(未実施)
2026年2月ごろ:制度構築方針公表

★3、★4
2025年11月ごろ:要求事項・評価基準・評価スキームの確定(未公表)
2026年度10月:制度開始予定

★5
スケジュール未定(国際規格対応を検討中)

このため、企業は2026年の制度開始に向けて準備を進める必要があります。

今できること

「まだ制度が始まっていないから何もしなくていい」――そう考えるのは危険です。今からできる準備はたくさんあります。

現状把握

まずは自社のセキュリティ対策を棚卸し、IPAの「SECURITY ACTION」で★1、★2を取得しましょう。
https://www.ipa.go.jp/security/security-action/

取得にあたり、どちらに取り組むか★1または★2を選ぶ必要があります。★2を取得する前に★1を取得している必要はなく、★2から取得することも可能です。

★1における宣言内容は5つです。

  1. OSやソフトウェアを常に最新にする
  2. ウイルス対策ソフトを導入し、最新の状態に保つ
  3. パスワードを推測されにくいものにすることで、強化する
  4. 共有設定を見直し、不要な共有は解除する
  5. 脅威や攻撃の手口を知り、従業員に注意喚起する

★2では以下の2つの作業が必要です。

  1. 「5分でできる!情報セキュリティ自社診断」のチェックリストからチェックを行う
    https://www.ipa.go.jp/security/sme/f55m8k0000001waj-att/000055848.pdf
  2. 情報セキュリティ基本方針を策定し、外部へ公開する

申し込みを行って1-2週間程度でロゴマークの使用が可能となります。
さらにその1-2週間後に宣言事業者一覧に掲載されます。

必要なツールの導入

★3、★4の評価基準には、MDM(モバイルデバイス管理)や資産管理、バックアップ、ID管理、アクセス管理などが含まれます。詳細こそ確定していないものの、内容はある程度固まっていると言ってよいでしょう。特に資産管理、ID管理、データセキュリティについては★3でも必要ですし、令和5年度版の政府統一基準(政府機関等のサイバーセキュリティ対策のための統一基準群 )にも該当項目があるため、ツールの選定を進めておいて損はありません。

※ 政府機関等のサイバーセキュリティ対策のための統一基準群 :政府機関等が講ずるべき情報セキュリティ対策のベースラインを定めています。民間企業は、政府機関等から業務委託を受ける場合にはサプライチェーンにおけるセキュリティ向上のため、これを満たしている必要があります。

社内教育

★2までの対策でも従業員へのルール周知がありますが、★3以降でも引き続き従業員へのルール周知や教育は必要となります。

  • 情報セキュリティ研修を実施する
  • サプライチェーンリスクに関する理解を深める

これらの研修や教材の作成については、設計や計画および内容の浸透に時間がかかるため、計画的に進めておきましょう。

おわりに

セキュリティ格付け制度は、企業の信頼性を高める新しい仕組みです。2026年の制度開始に向け、今から準備を始めることが重要です。
今後もセキュリティ対策評価制度に関して、オプティム製品では何ができるかを含め、定期的にお知らせしていきます。
この機会に自社のセキュリティ対策を棚卸しすることから始めてみませんか?

※ 制度の詳細は変更される可能性があります。最新情報は経済産業省等の公式発表をご確認ください。

このブログの免責事項について