サプライチェーンを対象とした攻撃は日々増加しており、攻撃による被害規模も大きくなっています。
被害は自社だけでなく、取引先などを通して広がることもあり、関係企業全体に影響をおよぼす恐れがあります。
こうした状況を受け、経済産業省は、2026年度に「サプライチェーン強化に向けたセキュリティ対策評価制度」を策定し、運用を開始する予定です。
本記事では、新制度が重視するポイントや評価内容を取り上げます。この制度を適用するために何をしなければならないのか、検討材料として活用ください。
なぜサプライチェーンを対象とした評価制度が求められているのか
企業は、取引先や委託先、ソフトウェアやサービスの提供元、提供先など、多くの関係者と連携しながらサプライチェーンを形成しています。
こうした構造を背景に、近年では、セキュリティ対策が強固な企業そのものではなく、防御が手薄な関係企業を起点としたサイバー攻撃が増加しています。
その結果、たとえ自社が強固なセキュリティ対策を講じていても、サプライチェーン上の一部に弱点があれば、侵入を許してしまうおそれがあります。
さらに、サプライチェーンを構成する企業の立場によっても、課題は異なります。
発注企業側では、取引先ごとにセキュリティ対策水準が異なるため、安全性を判断しにくい状況が生まれています。一方、受注企業側では、発注元ごとに求められる基準が異なり、混乱や過度な対策につながりやすい点が課題としてあげられます。
これまでのセキュリティ対策は企業ごとに独自に実施されており、サプライチェーン全体を俯瞰して評価する仕組みが存在していませんでした。その結果、企業間でセキュリティ対策を比較したり、評価したりすることが難しい状況が続いていました。
この課題を解消するには、サプライチェーン全体のサイバーセキュリティ対策状況を「見える化」し、発注側と受注側の双方が共通の基準で対策レベルを把握できる仕組みが必要です。
こうした背景を踏まえ、サプライチェーン全体の対策状況を共通の基準で評価するために創設されたのが、「サプライチェーン強化に向けたセキュリティ対策評価制度」です。
評価制度の概要
経済産業省はサプライチェーンのセキュリティ対策を評価する制度について、2025年4月に本制度に関するとりまとめが公表され、評価の基本的な考え方や評価ランクの方向性が示されました。
その後、実証事業などを通じた検討を経て、2025年12月に制度構築方針(案)が公表され、制度の具体的な運用を見据えた検討段階へと進んでいます。
ここでは、現時点で明らかになっている情報を紹介します。
評価基準概要
本評価制度の評価基準は、成熟度に応じて★1から★5までの5段階で構成されています。
このうち★1および★2は、既存の「SECURITY ACTION」を活用した自己宣言レベルとして位置づけられており、本制度では、より高度な対策が求められる★3~★5を中心に評価基準の検討が進められています。
「SECURITY ACTION」の詳細については、以下の記事をご参照ください。
SECURITY ACTIONとは?|独立行政法人 情報処理推進機構(IPA)
本記事では、特に★3~★5に焦点を当て、評価基準の方向性を整理します。
以下の表では、★3~★5それぞれについて、想定される脅威や求められる対策の考え方を比較します。
| 成熟度の定義 | 三つ星(★3) | 四つ星(★4) | 五つ星(★5) |
|---|---|---|---|
| 想定される脅威 | ・広く認知された脆弱性等を悪用する一般的なサイバー攻撃 | ・供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃 ・機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃 | •未知の攻撃も含めた、高度なサイバー攻撃 |
| 対策の基本的な考え方 | 全てのサプライチェーン企業が最低限実装すべきセキュリティ対策: ・基礎的な組織的対策とシステム防御策を中心に実施 | サプライチェーン企業等が標準的に目指すべきセキュリティ対策: ・組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施 | サプライチェーン企業等が到達点として目指すべき対策: ・国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施 |
| 評価スキーム | 専門家確認付き自己評価 | 第三者評価 | 第三者評価 |
| 有効期間 | 1年 | 3年 | 今後検討予定 |
| 更新に必要な手続き | 要求事項の遵守状況について年次で自己評価(専門家の助言プロセス有り) | 有効期間内は、1年ごとに自己評価を実施し評価機関に提出有効期限を更新する際(3年に1回)は第三者評価が必要 | 今後検討予定 |
| 要求事項数 | 83項目 | 141項目 | 今後検討予定 |
| 資格の取消し等 | 取得組織において虚偽報告、情報隠蔽等の不正行為が確認された場合、評価機関または認定機関から資格の一時停止または取消しを行う場合がある | 今後検討予定 | |
経済産業省『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)』より引用
三つ星(★3) は、広く認知されている脆弱性を悪用したサイバー攻撃に対する対策や管理が実施できているかを、自社で自己評価できていればよいと定められています。
四つ星(★4)および五つ星(★5)は、サプライチェーン全体に対する脅威や影響を対象とし、取引先やガバナンスを意識した対策・対応まで求められる評価ランクです。これらは第三者評価によって認定される予定です。
また五つ星(★5)に関しては、未知の攻撃も含めた高度なサイバー攻撃を対象としており、取引先等への指導や共同での訓練の実施など、自社サプライチェーン全体のセキュリティ水準向上に資する対策の実施状況が求められます。詳細に関しては、すでに存在している認証制度との制度的整合性を踏まえ、現在対策事項が検討されています。
評価制度によって企業にもたらされる効果
サプライチェーン強化に向けたセキュリティ対策評価制度は、取引における安全性を高めることを目的とした制度ですが、単に「取引先あるいは世間から対応を求められる仕組み」ではありません。
この制度に取り組むことで、発注企業・受注企業それぞれにとって、業務や取引面での具体的な効果が期待されます。ここでは、企業の立場ごとに得られる主な効果を整理します。
発注企業が得られる効果
取引先のセキュリティ対策状況を可視化・比較可能にする
- 本制度では、受注企業のセキュリティ対策を★3~★5の段階評価で示せるようになります。発注企業は、この評価を基準に対策状況を客観的に比較でき、複数の企業から適切な取引先を選びやすくなります。
- 将来的には、契約時に求めるセキュリティ水準を明確に提示しやすくなり、発注企業が設定する基準がわかりやすくなります。この仕組みによって、複数の受注企業を管理する業務が効率化し、発注企業の負担が減る可能性があります。
サプライチェーン全体の信頼性向上 → 企業ブランド/取引先の信用維持
- 発注企業は、サプライチェーン内の受注企業が一定のセキュリティ水準を満たしていることを客観的な根拠として示せるようになります。安全性や安定性が重視される業種では、取引先を適切に管理しているかが企業の評価やブランド価値に関わります。
- サプライチェーン全体で安全性を高められれば、取引先や顧客、株主など多様なステークホルダーからの信頼も向上します。
受注企業が得られる効果
対策状況の「見える化」による信頼性の向上、ビジネス機会の拡大
- 本制度により、受注企業は自社のセキュリティ対策を ★3〜★5 の段階で示せます。これによって、発注企業は受注企業がどの水準のセキュリティ対策を実施しているか客観的に把握できます。対策状況が明確になることで、発注企業からの信頼性向上が期待できます。
- 今後、発注企業が、契約や取引の際に受注企業に対して一定のセキュリティ水準を求める可能性が高まります。評価制度で定められた★評価を取得しておけば、求められる条件を満たし、取引の機会を確保しやすくなります。
「負担の軽減」と「効率的対応」への道筋
- これまで多くの受注企業は、発注企業ごとに異なるセキュリティ要件に対応する必要があり、その都度、手間やコストがかかっていました。本制度により共通の評価枠やチェックリストが整備されれば、求められる対策内容が整理・可視化され企業ごとの個別対応が減るため、負担の軽減が期待できます。
- 共通の基準に沿って自社の対策状況を確認できるようになることで、どの対策が未対応なのか、どこから優先的に取り組むべきかを判断しやすくなります。その結果、必要な対策に優先順位をつけやすくなり、余計な投資を抑えながら効率的に取り組むことが可能になります。
- 特に中小企業では、セキュリティの専門人材や予算が限られる場合が多いため、制度によって求められる対策が明確になることは大きなメリットです。自社に不足している点を把握しやすくなり、段階的な対策計画を立てやすくなることで、サプライチェーン全体のセキュリティ水準向上にもつながると考えられます。
中小企業向け支援策の拡充
- 2025年12月発表の制度構築方針(案)では、中小企業が評価制度へ取り組みやすくするための支援策として、「サイバーセキュリティお助け隊サービス(新類型)」の創設方針が示されました。
この新類型では、基本的なセキュリティ監視やインシデント発生時の初動対応支援、相談窓口の提供などをパッケージ化した支援が想定されています。
セキュリティ人材や予算が限られる中小企業が★3や★4の評価取得を目指す際には、こうした支援策の活用を有効な選択肢の1つとして検討してみるのもよいでしょう。
サプライチェーンに求められる対策
本評価制度は、サプライチェーン全体を対象としているため、対応すべき範囲はIT企業やシステム部門に限られません。取引に関わるすべての企業が、自社の立場や役割に応じた準備を進める必要があります。
まず、求められる対策水準は、業界や取引内容によって異なります。金融・クレジット業界のようにリスクが顕在化した場合の影響が非常に大きい場合は高いセキュリティ水準が必要となり、★4もしくは★5の取得が想定されます。他の業界においても、自社の事業内容や取引形態を踏まえ、どの評価ランクが求められるかを見極めることが重要です。
なかでも、以下の条件に該当する場合は、★4以上の取得を検討すべきと考えられます。
- 取引先の事業中断により、自社の事業継続上重要な業務に許容できない遅延等が生じ得る
- 取引先へのサイバー攻撃等により、自社の機密等に係る情報管理に重大な影響が生じ得る
これらに該当する企業では、自社内のリスクを洗い出したうえで改善に取り組むとともに、★4以上を目指す場合には第三者機関による評価への対応も必要となります。
評価の対象は、自社だけでなくサプライチェーン全体へと広がっていく点にも留意が必要です。
一方、上記に該当しない一般企業においては、まずは★3で求められている対策を着実に整備することが重要です。具体的には、以下のような基本的な取り組みが求められます。
- 自社の資産およびネットワーク構成を把握するための台帳整備
- 自社の機密情報の取り扱いに関するルールの策定
- インシデント発生時の対応手順の明確化
これらの対策を進めておくことで、「★3以上が調達条件」となる場合にも備えやすくなります。
また、既知の脆弱性を把握・管理していることを示す手段として、脆弱性診断は有効な取り組みの一つです。
また、制度構築方針(案)では、発注企業が受注企業に対してセキュリティ対策を求める際に生じ得る課題として、独占禁止法や下請法との関係整理を進める方針も示されています。
評価制度を活用することで、発注企業・受注企業の双方が共通の基準をもとに対策水準を確認でき、過度な要求や不透明な要請を防ぐ効果も期待されています。
今後は、評価制度を軸とした適切な取引関係の構築が重要になると考えられます。
今後のスケジュール
本評価制度は、2026年度内の運用開始を目指して検討が進められています。
2025年12月に公表された「制度構築方針(案)」本体では、★3 および ★4 を中心とする評価制度の運用体制案、評価スキームや評価結果の登録方法を含む 制度全体の設計案が整理されました。
あわせて、★3・★4 に関する要求事項案および評価基準案が公開されました。2026年度末頃の運用開始を目指す方針が示されており、評価観点の具体性が高まっています。
★5については、2026年度以降に対策基準・スキームの具体化検討が進められる予定です。
最終的な基準・評価方法は、公開された方針案に対する意見公募を踏まえて確定される見込みです。
まとめ
サプライチェーン強化に向けたセキュリティ対策評価制度は、2026年度内の運用開始を目指して段階的に整備が進められています。現時点では、★3および★4を中心に制度設計が具体化しており、★5については今後の検討事項とされています。
現時点での情報を見る限り、この制度は新たな対策を一律に求めるものではなく、企業がすでに取り組んでいるセキュリティ対策を共通の枠組みで整理・可視化することを目的としているといえます。
そのため、企業としては、まず現在の仕組みのもとで必要とされる対策を確実に実施し、自社のリスクや対策状況を把握しておくことが重要です。制度の考え方を正しく理解し、早めに準備を進めておくことで、評価制度への対応だけでなく、取引先からの信頼向上や将来的なビジネス機会の拡大にもつながります。
