今回は、2025年12月26日に経済産業省から公開された「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」の内容を整理し、自身の学びとしてまとめました。
1. はじめに
近年、サプライチェーンを通じたセキュリティインシデントが頻発しており、取引先を含めた全体の対策が急務となっています。
本制度は、ビジネスおよびITサービスサプライチェーンにおいて、サイバー攻撃を起因とした情報セキュリティリスクや、製品・サービスの提供途絶等のリスクに対し、適切な対策の実施を促すことを目的としています。
特にリソースの限られた中小企業において、自社の立ち位置に応じた対策決定を容易にし、サプライチェーン全体でのセキュリティ水準の向上を図るものとなっています。
2. 構築すべき評価制度の目的と位置づけ
本制度の導入により、受注企業にとっては対策の明確化や説明の容易化が図られ、発注企業にとっては取引先の対策状況を把握することで自社のリスク低減に繋がることが目的とされています。
社会全体としては、経済・社会全体のサイバーレジリエンス強化が期待されています。
対象とするリスクは、自社事業の提供途絶、機密情報の漏えい・改ざん、および取引先を踏み台とした不正侵入の3つの分類があがっています。
評価の範囲は企業のIT基盤を対象としており、原則として製造環境等の制御(OT)システムや提供製品そのものは含まれていません。
3. 構築する評価制度
本制度では、セキュリティ対策の水準に応じて「★3」から「★5」までの段階が設けられています。
★3(Basic)は、全てのサプライチェーン企業が最低限実装すべき、基礎的な組織的対策とシステム防御策を中心とした段階です。
★4(Standard)は、標準的に目指すべき段階であり、組織ガバナンス、システム防御・検知、インシデント対応等を含む包括的な対策を実施します。
そして★5は、高度な攻撃への対応として、国際規格に基づくマネジメントシステムの確立とベストプラクティスに基づく対策を実行する到達点と定義されています。
セキュリティ要求事項は、NIST CSF(サイバーセキュリティフレームワーク)に対応した6つの分類に取引先管理に重点を置いた分類を加えた「ガバナンスの整備」「取引先管理」「リスクの特定」「攻撃等の防御」「攻撃等の検知」「インシデントへの対応」「インシデントからの復旧」の7つの大分類で構成されています。
評価スキームについては、★3は専門家による確認を経た「専門家確認付き自己評価」とし、★4以上は評価機関による実地審査や技術検証を含む「第三者評価」を求める仕組となっています。
4. 制度の導入促進策
制度の普及に向けて、多角的な支援策が講じられます。
中小企業向けには、★3・★4の取得支援を目的とした「サイバーセキュリティお助け隊サービス」の新類型の開発や、専門家とのマッチングを行う「中小企業向けサイバーセキュリティ対策支援者リスト」の整備が進められています。
また、適切な価格交渉を促進するため、公正取引委員会と連携し、セキュリティ対策要請と費用負担に関する独占禁止法上の考え方の整理や想定事例の周知も並行して行われます。
5. 今後の検討の進め方及びスケジュール
令和8年度(2026年度)下期の制度開始を目指し、令和7年度(2025年度)は実証事業を通じた意見収集や、基準・評価スキームの詳細化、制度運営基盤の整備が進められる予定となっています。
最高位となる★5の要求事項や評価スキームや開始予定時期等については、実証事業の結果等を踏まえ、サプライチェーン強化に向けたセキュリティ対策評価制度に関するSWGにて引き続き議論を行うとされています。
おわりに
今回の制度構築方針(案)を読み解くことで、単なる技術的な対策に留まらず、商流全体でのレジリエンスを高めるための構造的な仕組みを深く理解することができました。
特に、企業の規模や役割に応じた段階的な評価軸(★3〜★5)の設定と、それを支える公的な支援策の整合性は、実効性の高いサプライチェーンセキュリティを実現する上で極めて重要な要素であると認識しています。
こうした公的な制度の動向を適時捉え、自身の知識体系をアップデートし続けることは、複雑化するサイバーリスクへの対応力を養う上で不可欠なプロセスです。
今後も最新の政策知見を吸収し、情報発信に努めることで、自身の知見を一層高めていきたいと思います。
