2026年開始「サプライチェーン強化に向けたセキュリティ格付け制度」をやさしく解説

サプライチェーンを構成する企業や組織とその評価

　企業や組織には、ビジネスパートナーや委託先などの取引先、資本関係があるグループ会社など、ステークホルダーとなる企業や組織はさまざま存在する。

　2022年3月、自動車部品メーカーへのランサムウェア攻撃により、大手自動車メーカーの国内全工場が1日停止する事態が発生したが、これをきっかけに自身のサプライチェーン（ステークホルダー）が起こすセキュリティ事故の影響を懸念する気運が高まっている（サプライチェーンのセキュリティは、情報処理推進機構（IPA）の『情報セキュリティ10大脅威 2025』において、組織編で2位にランクインしている）。

　その懸念を払しょくするために必要なのが、多様な取引先が適切にセキュリティ対策を実施しているかを把握することだ。

　しかし、すべての企業・組織がISO/IEC 27001認証などの第三者認証を取得しているわけではないため、他社・他組織がどのようなセキュリティ対策を実施しているか確認するのは簡単ではない。

　一方、第三者認証とは別に、セキュリティ対策ができているかを自己評価する基準は世の中にさまざま存在する。国内では経産省の「サイバーセキュリティ経営ガイドライン」やIPAの「中小企業の情報セキュリティ対策ガイドライン」、海外では米国NISTの「サイバーセキュリティフレームワーク」や「SP800-171」などが一般的だ。

　これらのガイドラインや標準には、それぞれ目的や想定用途などの特徴があり、どの基準を選ぶべきか悩ましい。これらの基準を参考に企業や組織で独自にアンケート項目を策定する場合も多く、一般的に、ステークホルダーを評価するためにアンケートが飛び交っているのが現状であり、取引先が多い企業が日々回答するアンケートはかなりの量になっている。

新しい評価制度のメリットはどこにあるのか？

　企業や組織によって、経産省が検討を進めている評価制度は、上記の課題に一石を投じる可能性があるものだ。

　「サプライチェーン強化に向けたセキュリティ対策評価制度」で認定されれば、一定基準を満たしている証明をもらえ、「うちは★3を持ってますよ」とアンケート回答無しで示せる。また★を持っていない場合でも、何が足りないのか国内共通の評価項目を用いて比較的容易に確認できるようになる。

　ただし、メリットの一方で、★を持ってないことで契約してもらえないリスクもあることを考えておく必要がある。

評価は3段階、★3は自己評価、★4以上は第三者評価

　これまでの制度検討の経緯を整理しておくと、経済産業省は、2024年4月5日に行われた「第8回 産業サイバーセキュリティ研究会」において、企業のセキュリティ対策レベルを評価できる制度を検討していくと発表した。

　そして、2024年度の研究会のサブワーキンググループにおいて評価に合った要求事項・評価基準やスケジュールなどの検討が進められてきた。2024年度は4回の会合が行われ、都度検討状況が公表されてきたが、2025年2月28日の会合でようやく具体性が見えてきたところだ。4月14日にこれまでの検討内容を整理した「中間取りまとめ」が公表されている。

　まず、制度は3段階の評価が想定されているという。現時点で「★3」「★4」「★5」の3つで表現されている。「★3」は一般的な企業向けの攻撃を想定した管理や対策の整備ができていると自己評価できればよい。「★4」と「★5」はよりサプライチェーン全体を意識した対策まで要求され、第三者評価により認定される。

　ちなみに、「★1」と「★2」は、すでにIPAの中小企業向け取り組み「SECURITY ACTION」で制度化されている。

制度の想定評価対象は下請け企業や受注元の大手企業

　本制度は、各種業界の主要な大手企業が発注先に対してこの制度の評価を求めることで、多くの企業において一定のセキュリティ対策が整備されることが期待されている。

　想定されている対象だが、政府機関への供給元、重要インフラ事業者や主要製造業（自動車や半導体等）などの上下関係や結びつきが強い業界、金融などの高いセキュリティレベルが求められる業界などが挙げられている（「中間取りまとめ P.9」 より）

　さらには、サプライチェーンを下支えする中小企業も対象となる。費用や人材の課題を想定した推進策も今後検討していくという。 【次ページ】★をもらうための要求事項や評価基準