コラムサプライチェーン強化に向けたセキュリティ対策評価制度とは

サプライチェーン強化に向けたセキュリティ対策評価制度とは

※このコラムは「三井住友カードBiz」2025年12月号に掲載されます。

サプライチェーンを通じたサイバー攻撃の増加により、発注側が受注側のセキュリティ対策状況を把握する必要性が高まっています。経済産業省は2026年10月以降の制度開始を目指して、セキュリティ対策評価制度の整備を進めています。今回はこの制度について、現時点で経済産業省より公表されている内容をもとにお伝えします。

◆ サプライチェーンとは

サプライチェーンは日本語では「供給連鎖」と呼ばれます。調達から、製造、在庫管理、配送、販売、消費に至るまでのサービスや物の流れのことです。たとえば、自社の製品を消費者へ提供するまでには、材料の調達先である材料メーカーなどに加えて、配送業者、卸業者といった複数の他社が関係しています。

◆ サプライチェーンを通じたサイバー攻撃が増加

サプライチェーンを構成するセキュリティレベルの低い関連会社や取引先などを踏み台として、本来の目的であるセキュリティの高い組織へ侵入を試みるサイバー攻撃が増加しています。
組織間のつながりを悪用する特徴があるため、発注企業は受注企業のセキュリティ対策状況を把握する必要性が高まっています。

◆ 受注企業側と発注企業側の現状と課題

受注企業側の現状と課題

・複数の発注企業から異なる水準でセキュリティ対策を要求される。
・発注企業の求めるセキュリティ対策の水準が、受注企業側においては高度で要求への対応が難しい。

発注企業側の現状と課題

・サプライチェーンを構成する企業等が多く、網羅的にセキュリティ対策状況を把握することが難しい。
・外部から受注企業の対策状況を判断することが難しい。

◆ 評価制度の趣旨

こうした課題に対応するため、サプライチェーンを構成する企業のセキュリティ対策状況を可視化し、相互に評価しあうための仕組み（サプライチェーン強化に向けたセキュリティ対策評価制度）を作ることを目指して、経済産業省が設置する産業サイバーセキュリティ研究会のワーキンググループで検討が進められています。

2025年4月14日に中間とりまとめが公表されました。

【経済産業省】「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」

◆ 評価制度の主な内容

この評価制度は、各企業がセキュリティ対策レベルに応じた「★マーク」の認定を取得することでリスクを可視化し、サプライチェーン全体のセキュリティ水準の向上を図ることを目的としています。

セキュリティ対策レベルは5段階（★1～5）に分類し、そのうち★1と★2は既存のSECURITY ACTION（セキュリティ対策自己宣言）です。SECURITY ACTIONは各種補助金の要件にもされていますので、補助金を申請するにあたって実施した企業も多いのではないでしょうか。

SECURITY ACTION セキュリティ対策自己宣言
https://www.ipa.go.jp/security/security-action/sa/

今回の評価制度では新たに定義される★3～5を評価の対象とすることを想定しています。
★3は一般的なサイバー攻撃を想定した管理や対策が求められますが、評価は自己評価で構いません。
★4と★5はサプライチェーン全体を意識した対策が求められ、第三者による評価が必要となります。

【構築する評価制度（現時点案）】

成熟度の定義	三つ星（★3）	四つ星（★4）	五つ星（★5）
想定される脅威	・広く認知された脆弱性等を悪用する一般的なサイバー攻撃	・供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃・機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃	・未知の攻撃も含めた、高度なサイバー攻撃
対策の基本的な考え方	全てのサプライチェーン企業が最低限実装すべきセキュリティ対策：・基礎的な組織的対策とシステム防御策を中心に実施	サプライチェーン企業等が標準的に目指すべきセキュリティ対策：・組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施	サプライチェーン企業等が到達点として目指すべき対策：・国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施
評価スキーム	自己評価	第三者評価	第三者評価