経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」解説 第1回【制度解説】制度の要点と「対応のヒント」
ao
本記事の概要
ランサムウェア攻撃などの脅威が増す中、経済産業省(METI)が検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度」は、企業にとって避けられない課題となっています。
本記事は、この制度の根幹となる「基準の考え方」と「3つの段階(★3、★4、★5)」を、経済産業省(METI)の公開情報を基に解説します。各段階で企業が陥りがちな「エビデンス管理の罠」や「継続的運用の課題」に焦点を当てます。単なる制度解説で終わらせず、評価対応を効率的に成功させるための「実務的なヒント」を提供し、次回の「自動化ソリューション」へ繋がる論理的な一歩をご案内します。
※こちらの記事は、2025年4月14日に公表された「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を解説したものです。
2025年12月26日公表の最新版「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))に基づき更新した記事は、こちらのリンクからご覧いただけます。
なぜ今、サプライチェーンのセキュリティ対策が急務なのか
ランサムウェア攻撃などの手口が巧妙化する中、大企業や重要インフラのセキュリティ防御を迂回し、その取引先(サプライヤー)を「侵入経路」として狙うケースが急増しています 。ひとたびサプライヤー企業が攻撃を受けると、その影響は連鎖的に広がり、取引先全体の事業継続に深刻な打撃を与えます 。
こうした背景から、経済産業省(METI)は、サプライチェーン全体のセキュリティレベルを底上げし、対策状況の「見える化」を促進するため、「サプライチェーン強化に向けたセキュリティ対策評価制度」の検討を進めています 。
この評価制度は、2026年度の制度開始を目指しており、現在、要求事項や評価スキームの最終調整と制度運用基盤の整備が急ピッチで進められています。企業にとっては、猶予期間が限られており、対策の方向性を定めることが急務となっています。
本記事では、この制度の根幹である「基準の考え方」と「3つの段階(★3、★4、★5)」を分かりやすく解説するとともに、評価対応を効率的に行うための実務的なヒントをご紹介します 。
評価レベルの基準:重要度に応じた「3つの星」の考え方
この制度の最大の特徴は、企業やシステムが持つ「重要性」と「影響度」に応じて、求められる対策レベルを3段階に区分している点です 。
① 基準設定の土台となる2つの視点
対策レベルを判断する際、以下の2つの視点が考慮されます 。
- ビジネス視点(事業継続性の重要性)
- システム視点(接続の有無)
これらの視点を踏まえ、既存の「SECURITY ACTION」(★1、★2)から発展させる形で、より具体的な対策基準が★3、★4、★5として設けられています 。
【SECURITY ACTIONとは】
SECURITY ACTIONは、独立行政法人情報処理推進機構(IPA)が推進する、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です。新しい評価制度の★3以上の基準は、この★1、★2の基礎的な取り組みをさらに具体化・発展させたものとして位置づけられています。
この新しい評価基準(★3〜★5)は、米国の「NIST Cybersecurity Framework 2.0」などの国際的な枠組みに加え 、既に各産業界が取り組んでいる具体的なベンチマークを参照し、策定されています 。
例えば、★3 Basicの要求事項は、英国のCyber Essentialsや、自動車業界の自工会・部工会ガイドライン(自動車産業サイバーセキュリティガイドライン) Level 1 など、基礎的な対策レベルをベンチマークとして抽出されています。
また、★4 Standardでは、自工会・部工会ガイドライン Level 1〜3、ISO 27001や重要インフラ分野別ガイドラインなどのより高度な基準が参照され 、★5 Standardでは、ISO/IEC 27001:2022など、国際的なリスクベースのマネジメントシステムが目標(候補)とされています 。
特に、コネクテッドカーや自動運転が推進され、車両がソフトウェアによって定義される(SDV: Software-Defined Vehicle)時代において、サプライチェーンにおけるセキュリティ対応は既に必須(MUST)であり、その要求は厳しさを増しています 。この制度は、そうした業界ごとの厳しいコンプライアンス要求も包含する形で設計されていると言えます 。
② 評価レベルの概要
| 評価レベル | 企業が目指すべき対策レベル | 評価方法の概要 |
| ★3 Basic | すべての企業が最低限実施すべき基礎的な対策。 | 自己評価(25項目) |
| ★4 Standard | より高度なレベルを目指す企業向けの標準的な対策。 | 第三者評価(44項目) |
| ★5 Standard | リスクベースで現時点のベストプラクティスを追求するトップレベル。 | 第三者評価(項目検討中) |
*1) 第三者評価を原則とするが、評価コストの負担を抑える観点から、詳細は今後検討予定。
制度の土台を理解する~参照される主要ベンチマークの役割
このサプライチェーン評価制度は、特定の企業の要件を満たすだけでなく、国際的なベストプラクティスを基礎として設計されています。ここでは、★3から★5の基準策定に参照された主要なガイドラインと、その役割を解説します。
| ベンチマーク | 参照される評価レベル | 概要と制度における役割 |
| NIST Cybersecurity Framework 2.0 | 制度全体の構造的な設計思想 | 米国立標準技術研究所(NIST)が策定 。 対策を「統治(GOVERN)」、「識別(IDENTIFY)」、「防御(PROTECT)」、「検知(DETECT)」、「対応(RESPOND)」、「復旧(RECOVER)」の6つの機能で構造化するフレームワークです . このリスクベースの管理思想が、★3〜★5の対策を分類・整理するための構造的な「骨格」となっています 。 |
| Cyber Essentials | ★3 | 英国政府が推進する、組織が最低限実施すべき基礎的・技術的なセキュリティ対策を定義した認証制度です。 Cyber Essentialsには、自己申告に基づくBasicと、専門家によるテストと検証を行うPlusがあります。 サプライチェーン評価制度における★3は、このCyber EssentialsのBasicの要求事項を多く参照して策定されています。具体的には、ファイアウォール、安全な設定、アクセス制御、マルウェア対策、パッチ管理の5つの技術的領域に焦点を当てています。 |
| 自工会・部工会ガイドライン | ★3、★4、★5の全て | 自動車産業サイバーセキュリティガイドライン(自工会・部工会ガイドライン)は、自動車産業特有のサプライチェーンリスクに対応するために、JAMA/JAPIAが策定。Lv1〜3というプロセスの成熟度に合わせた具体的な対策適用範囲が定義されており、METIの★3〜★5の要求レベルを策定するために参照されています 。 |
| ISO/IEC 27001 | ★4、★5 | 情報セキュリティマネジメントシステム(ISMS)の国際規格。リスクベースで組織的な管理体制を構築し、継続的に改善することを要求します。 この継続的な仕組みの考え方が、★5が目指すベストプラクティスの維持というトップレベルの目標であり、★4の第三者評価で求められる運用の継続性を保証するための土台となります。 |
各段階の詳細と評価対応の「ヒント」
この制度が企業に求めるのは、一時的な対策の導入ではなく、各レベルに応じたセキュリティ対策の「仕組み化」です。ここでは、各段階の要求事項と、評価をクリアし継続的に対策を維持するための実務的なヒントを解説します。
| 項目 | 詳細と要求事項 | Trustnowからの「実務的なヒント」 |
 ★3 Basic | 基本的な防御策と、インシデントに備える組織体制の整備。(自己評価:25項目) | 【最初の課題:無駄な工数の削減】 自己評価であっても、監査に耐えうる証拠(ログ、記録)が要求されます 。手動での収集・保管は担当者の貴重な工数を数十時間単位で浪費するだけでなく 、「対策が維持されている」客観的な証拠にはなりません 。この非効率な手作業のプロセスを続けることは、上位評価に備えるための時間を自ら無駄にしていることを意味します。最初の段階から、記録の自動収集と仕組み化を検討することが重要です 。 |
| ★4 Standard | 組織能力の強化、取引先リスク管理、システム保護、検知、インシデント対応など。(第三者評価:44項目) | 【最大の難関:費用対効果の追求】 第三者評価では、対策が継続的に維持されていることを証明することが求められます 。年に一度の監査前に慌てて対策を整える「付け焼刃」は通用しません 。対策不備による再審査、評価期間の長期化、そして取引先からの信用損失という目に見える損失は、対策自動化ツール導入費用を遥かに上回る可能性があります 。継続的コンプライアンスの仕組みこそが、最も費用対効果の高いビジネス上のリスクヘッジです 。 |
| ★5 Standard | リスクベースの考え方に基づき、継続的な改善を実施し、現時点のベストプラクティスを適用。(第三者評価) | 【最終目標:ビジネス戦略としての自動化】 脅威の進化速度は速く、手動で現時点のベストプラクティスを維持することは難しいのが現実です 。経営層は、リスク特定、対策、エビデンス管理の全プロセスを「継続的、かつ自律的」に回すための自動化プラットフォームへの投資を、セキュリティコストではなくビジネス戦略として位置づけることが重要です 。このレベルでは、自動化された運用基盤の有無が、評価の成否を分ける要因の一つとなります 。 |
評価制度の課題解決とロードマップ
この新しい評価制度は、サプライチェーン全体のセキュリティレベルを底上げし、日本企業の競争力を高める上で、画期的な一歩です 。
しかし、セクション3で指摘した通り、制度対応において最も深刻な課題は、「手作業による運用負荷」です 。特に、★4の第三者評価や、★3の段階から求められるエビデンス管理は、IT部門や管理部門に加え、設計部門にも膨大な工数を要求します 。
評価対応の成否は、もはや「対策を実施するか否か」ではなく、「どれだけ継続的かつ効率的に、エビデンスを収集し、対策状況をモニタリングできるか」という、運用基盤の効率化にかかっていると言っても過言ではありません 。
この非効率な手作業を放置することは、無駄な人件費と監査コストを継続的に支払うという、戦略的な損失を意味します。
METIは2026年度の制度開始を目指し、現在、以下のスケジュールで準備を進めています。企業は、制度運用開始を見据え、実証事業の結果や評価スキームの確定前に、対策のロードマップを作成することが肝要です。
| 関連 | 2025年度(検討・整備) | 2026年度(運用開始・公表) |
|---|---|---|
| ★3・★4関連 | 要求事項・評価スキームの確定、制度運用基盤の整備 | 運用開始(想定)、取得企業の公表 |
| ★5関連 | 基準、評価スキーム等の検討 | 基準、評価スキーム等の検討を継続 |
| 制度運用 | 制度構築方針公表、先行する国内・海外制度との調整 | 運用開始、認証機関等の体制整備 |
そこで次回は、この「継続的な対策と評価の負荷」という、企業が直面する最大の課題を解決するセキュリティ自動化プラットフォーム『Vanta』を具体的に取り上げます 。
Vantaを活用し、サプライチェーン強化に向けたセキュリティ対策評価制度への対応を圧倒的に効率化するアプローチを徹底解説します。ぜひご期待ください!
TrustNowでは、Vanta製品の専門知識をもつコンサルタントが
導入をサポートします。
製品を検討中、または関心のある方は、こちらからご相談ください!!
Vanta製品の概要・機能を知りたい。
Vanta製品のデモを見たい。
