2026年度運用開始、「セキュリティ対策評価制度」とは

　2025年も残すところ約1か月となりましたが、2026年度中の運用開始が予定されている「サプライチェーン強化に向けたセキュリティ対策評価制度（以下、セキュリティ対策評価制度）」をご存じでしょうか。

　ここ1～2年だけでも、サプライチェーンに起因するランサムウェア被害や個人情報漏えいといったサイバー攻撃によるセキュリティ事故が、相次いで発生しています。

　今や、企業や業種の垣根を超えてシステムやサービスが連携していること（サプライチェーン）は少なくありません。しかも、サプライチェーンは複雑さを増すばかりで、サイバー攻撃による局所的な被害であっても、ビジネスにおけるサプライチェーン全体、社会インフラともなれば社会全体の機能がマヒするなど深刻な被害につながるリスクがあります。

　自動車などの一部業界では業界内におけるガイドラインを設けて、サイバー攻撃へのセキュリティ対策を講じています。しかし、前述したようにシステムやサービスの連携は業界の枠を超えて広い範囲に及び複雑化しており、特定の業界内の対策だけでは十分ではなくなってきました。

　そこで、経済産業省や管轄組織である独立行政法人情報処理推進機構（以下、IPA）などが中心となり、業種横断的に活用できるサイバー空間の強靭性（レジリエンス）を高める仕組みの構築に向けて、業界ごとのガイドラインから共通項目を抽出すると共に、海外のセキュリティ対策制度なども参考としながら検討してきました。

　そして、2025年4月にはサプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループが、「中間とりまとめ」として制度概要を公開しています。

　同制度は大企業などを中心としたセキュリティに関する大きな枠組みのように思われがちですが、中小企業にも多大に影響する施策です。事実、「サイバー空間のレジリエンスを確保するためには中小企業を含めたサプライチェーン全体のセキュリティ対策の底上げが急務」（産業サイバーセキュリティ研究会ワーキンググループ資料）と指摘されています。

　製品やサービスの企画・開発から生産、エンドユーザーの手元に届くまでの一連の流れにおいては複数の事業者が携わっているのが当たり前の時代です。多かれ少なかれ、こうしたサプライチェーンの一角を形成する中小企業は少なくないでしょう。

　本稿では、サイバー攻撃への備えとして新たな枠組みとなるセキュリティ対策評価制度の概要について解説していきます。

5段階でレベルを格付け評価し可視化

　セキュリティ対策評価制度とは、端的にいえば「サプライチェーンを形成する企業のセキュリティ対策を可視化する共通評価制度」です。

　サプライチェーンに関わるすべての企業を対象としており、ここには中小企業も当然ながら含まれます。セキュリティ対策への取り組み状況が共通の評価軸で可視化されることにより、発注者と受注者の双方は適切なセキュリティ対策を講じやすく、外部や取引先に対策状況を説明しやすくなります。

　また、発注先企業（受注企業）にセキュリティ対策が適切に実装されることにより、発注元企業のサプライチェーンリスクの低減や、経済・社会全体におけるサイバーレジリエンスの強化が期待されています。

　評価制度の内容については中間取りまとめを経て正式公開を待つ状況で、本稿執筆時点において5段階の格付が検討されており、それぞれでセキュリティ対策の考え方やスキームの概要が示されています（表1）。

表1：サプライチェーン強化に向けたセキュリティ対策評価制度の各レベルの概要（出典：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」と、IPA「サプライチェーン強化に向けたセキュリティ対策評価制度の構築について」を参考に編集部にて作成）

　5段階で構成されるセキュリティ対策評価制度は、大きく2つに分けることができます。「一つ星（★1）～二つ星（★2）」と「三つ星（★3）～五つ星（★5）」です。

　「★1」と「★2」は、セキュリティ対策として最も基礎的な取り組みとなることから、評価制度の前段階として位置づけられているもの。特にサプライチェーン企業にフォーカスしたものではなく、全事業者を対象としています。基本的に大企業や中堅企業では当然の対策であるため、主に中小企業を想定した構成要素といえます。

　セキュリティ対策がレベルに準拠しているかどうかを確認する方法（評価スキーム）について、「★1」と「★2」は「SECURITY ACTION宣言（関連記事：中小企業セキュリティの第一歩！ SECURITY ACTION宣言）」がベースとなります。

　SECURITY ACTIONは2017年から運用がスタートしており、2025年4月時点で40万を超える事業者が宣言を行っています。

　今回の評価制度ではSECURITY ACTIONに、新たにサプライチェーンにおけるサイバーレジリエンス強化を主目的とした「三つ星（★3）～五つ星（★5）」を構成要素に追加する形で、具体的な対策内容を可視化した全5段階の共通評価制度として運用されるわけです。

セキュリティ評価制度の中心は「★3」以上

　サプライチェーンのセキュリティ水準を底上げするための共通評価軸としては、「★3」から「★5」の三段階を中心にスキーム設計が進められています。

セキュリティ対策評価制度「★3」～「★5」（出典：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」と、IPA「サプライチェーン強化に向けたセキュリティ対策評価制度の構築について」を参考に編集部にて作成）

　セキュリティ対策評価制度の「★3」は、一般的なサイバー攻撃に備える水準であり。サプライチェーン企業が最低限実装すべき対策とされています。それゆえ取り組むべき要求項目はSECURITY ACTIONに比べて多く、より本格的なセキュリティ対策が求められます。

　評価スキームは自己評価ですが、SECURITY ACTIONのようにセキュリティ対策に取り組んでいることを宣言すればよいというわけではなく、要求項目への対応を専門的な目線から評価することが想定されています。社内にセキュリティ専門担当者を置くか、あるいは外部の登録セキュリティスペシャリストなどに協力を求めるといった対応が必要となりそうです。

　もう一段階上のレベル「★4」は、インシデントにより被害が発生すると事業停止や重要情報の漏えいなどが社会的に大きな問題となる企業に求められる水準となっています。要求は44項目で、セキュリティガバナンスからシステム防御、攻撃や脅威の検知、インシデント対応まで包括的な対策が求められます。

　評価スキームは第三者評価となります。評価機関による認証だけでなく技術検証なども必要になるとのことで、正しくセキュリティ対策を行うことが欠かせません。ただし、評価コストの負担を抑制する観点から、自己評価（自己適合宣言）を導入する案もあり、その場合には自己評価を「★4」、第三者評価を「★4 plus」といった具合に二段階で表記することも検討されています。

　また、セキュリティ対策に終わりはありません。巧妙かつ高度化するサイバー攻撃に対し、絶えずブラッシュアップしていくことが必要です。特に、認定制度などでは取得そのものが目的となりがちで、制度形骸化のリスクが指摘されています。

　こうした観点から、セキュリティ評価制度では評価に有効期限が設けられる方向です。自己評価となる「★3」は有効期限1年で、対策状況の年次点検により更新されます。原則第三者評価の「★4」は同3年間で、有効期間内は年次での自己評価を実施（評価機関に提出）し、更新の際に第三者評価を受けるというスキームが想定されています。

　一方、「★5」は評価制度において最高位レベルとなるもの。産業界を代表する大企業などを対象としており、高度なサイバー攻撃やシステムの強固な保護などの考え方が提示されています。要求事項は100項目超が想定されるなどハイレベルなセキュリティ対策が求められますが、具体的な制度設計などはこれから検討されるため、方向性のみ示されている状況です。

セキュリティ評価制度とISMSの違い

セキュリティ対策の認定制度にはいくつかありますが、セキュリティ対策評価制度に関連して「情報セキュリティマネジメントシステム（Information Security Management System：ISMS）」が話題に上がります。というのも、「ISMSを取得すればセキュリティ評価制度には対応しなくてもよいのでは」という声が聞かれるとのこと。

ISMSとは、組織において情報セキュリティを管理するための仕組みや枠組みです。国際規格のISO／IEC 27001に基づいて情報セキュリティ管理の効果性を第三者機関が客観的に評価し認証する制度で、取得により情報セキュリティの管理体制が国際標準に準じていることが証明されます。

本文で解説した通り、セキュリティ評価制度ではサプライチェーンのサイバーレジリエンス（強靭性）を向上させるためにセキュリティ対策を実装することが目的となっています。これに対して、ISMSは主に情報資産の保護が目的です。評価制度とISMSでは対象領域が異なるため、併用されるべきものといえるでしょう。政府も、その辺りを念頭に置きながら制度設計を進めています。

評価制度の背景と中小企業が取り組むべき理由

　では、中小企業はセキュリティ対策評価制度にどう関わっていけばよいのでしょうか。評価制度が求められる背景を交えながら、ひも解いていきましょう。

　セキュリティ対策評価制度を運用する背景には、いくつか理由があります。例えば、「対策水準を底上げするために企業にセキュリティ対策の実装を促す」という目的からも見て取れるように、サプライチェーンや委託先を狙ったサイバー攻撃による被害が増加していることが挙げられます。

　サプライチェーン攻撃には、ソフトウェア製品を狙う「ソフトウェアサプライチェーン攻撃」、サービスやAPIを経由して狙う「サービスサプライチェーン攻撃」、子会社や取引先を狙う「ビジネスサプライチェーン攻撃」などがあり、いずれも、つながりを悪用して次の攻撃の踏み台とする手口です。

　相次ぐ大企業のセキュリティ事故の多くは、ビジネスサプライチェーン攻撃に起因するもの。サプライチェーンでセキュリティが脆弱な取引先や業務委託先、子会社などを狙って侵入し、本命ターゲットへ攻撃を仕掛けるわけです。

　組織におけるセキュリティ対策の強度は、最も弱いレベルに沿うといわれるように、どれほど強固にしても脆弱性があればそこを狙われます。サプライチェーンも同様で、発注元の大企業でセキュリティが強固だったとしても、発注先の中小企業などの対策が不十分なら、そこから狙われます。

　サプライチェーン全体のセキュリティレベルを底上げして、サイバー攻撃への備えを強固にしなければなりませんが、セキュリティ対策への共通認識がないため、発注元は取引先のセキュリティ対策レベルが分からず、発注先は発注元の求める対策要求が見えません。

　そうした状況下、発注元の企業が独自にセキュリティ要件などのチェックシートを作成し、それをベースに発注先の企業に対してセキュリティ対応を求めるのが一般的です。発注先企業は取引する発注元企業の数だけ対応が必要となり、数が増えるほど手間やコストの負荷は高くなります。発注元企業にとっても不安はあり、発注先のセキュリティ対応の状況や有効性を客観的に判断しにくいという課題がありました。

　しかも、サプライチェーンが多層構造化し複雑さを増す中では、特定の企業や業界に限ったセキュリティ対策の普及だけでは全体のサイバーレジリエンスを向上させることが難しくなってきています。

評価制度では、サプライチェーンを「市場への影響が大きい発注者層」「多様な業界から業務を受ける中間層」「中小企業を中心としたサプライチェーンを下支えするエンド層」に分けて制度の普及が検討されている（出典：「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」資料より引用）

　こうした背景から、業界や企業といった枠を超えて業種横断的に使うことができ、セキュリティ対策の実装状況を可視化しレベルを判断できる“共通指標”として評価制度を導入しようという流れになりました。

　セキュリティ対策評価制度は、法律や規制ではないので対応を強制されるものではありません。あくまでも“推奨”されるものです。

　とはいえ、評価制度の導入背景を鑑みれば中小企業も対応が迫れることは必至です。セキュリティ対策は以前のようなコストではなく、取引先からの信頼を確保し事業を継続するための必須条件であり、戦略的に取り組むべきこと。それを客観的に証明するセキュリティ対策評価制度は、むしろ積極的に取り組むべき制度ではないでしょうか。

　さもなければ、サプライチェーンへ参画できない、あるいはサプライチェーンから退場せざるを得ない状況になる可能性もあります。実際、大手企業の中には取引条件にセキュリティ対策を挙げ、対応しない企業とは取引をしないことを公表している例もあります。

　そもそも制度設計では、評価制度を導入する一連のサプライチェーンにおける川上の発注元企業から川下のエンド層、いわゆる中小企業に至る流れに沿ったセキュリティ対策への対応と実装の波及効果が期待されています。やはり対応必至と考えるべきでしょう。

セキュリティ対策評価制度で想定されている対象事業者の範囲（出典：「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ（P17）」資料より引用）

再委託先も含め、一連のサプライチェーンの末端までセキュリティ対策の実装が期待されている（出典：「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ（P20）」資料より引用）

　そして、対応が必須ならば、できるだけ早期に取り組むことがメリットとなります。制度に対応し評価取得のタイミングが早いほど、競争優位により信頼性を深化させることができ、ビジネスチャンスも広がるからです。

　例えば、今では個人情報を扱ううえでは欠かせない「プライバシーマーク（Pマーク）」は1998年に制度がスタートしました。

　2005年の個人情報保護法の完全施行（制定は2003年）を機に取得企業数が増える中、早期に取得した企業は顧客からの信頼獲得など新たなビジネス機会につながりました。現在、Pマーク取得は官公庁入札への参加条件とされているなど、未取得ならば機会損失につながる制度となっています。

　同様のことが、セキュリティ対策評価制度でも十分に想定されます。これだけビジネスにおいてサイバー攻撃への対策要求が高まっている状況下、その可能性は十二分に考えられるのではないでしょうか。

評価制度の開始に向け取り組むべきこと

　2025年4月に公表された中間取りまとめによると、「2026年度の制度開始を目指し、実証実験による制度案の検討と並行して制度運営基盤の整備や利用促進などを進める」とのこと。具体的には、2026年度下期の運用開始が想定されています。

セキュリティ対策評価制度の運用スケジュール。「★3」と「★4」は、2026年度下期の運用開始が予定されている（出典：「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」資料より抜粋）

　しかし、運用開始まで時間があると考えるのは早計でしょう。セキュリティ対策は日常的な取り組みの積み重ねで効果を発揮するもの。しかも、場当たり的ではなく、組織的かつ体系的にセキュリティ環境を整備し実装していく必要があります。

　これまで体系的にセキュリティ対策に取り組んだことがない中小企業は、評価制度の「★1」と「★2」に相当するSECURITY ACTION宣言から着手するべきでしょう。

　すでにSECURITY ACTIONと同等の対策は取られている、あるいは宣言により対応が完了したといった場合には「★3」や「★4」の評価に対応していくわけですが、前述した通り要求項目が多くなるため対応には、それ相当の時間もかかります。

　いずれにしても、まずは自社のセキュリティ対策の状況を把握することが欠かせません。それと同時に評価制度の概要を把握しておき、要求事項・評価基準・評価スキームが確定した段階でスムーズにアクションに移せるようにしておきたいところです。評価制度で用いられるセキュリティ要求事項・評価基準の概要は下図の通りです（「★3」と「★4」）。

セキュリティ対策評価制度の「★3」と「★4」で用いられる要求事項・評価基準の概要（出典：「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」資料より抜粋）

　「★3（25項目）」と「★4（44項目）」の要求事項・評価基準案の具体的な項目は、評価制度構築に向けた中間とりまとめの参考資料として公開されています。細部は変更される可能性はありますが、大きな方向性に影響はないと思われるので、それを参考に事前準備を進めていくことも早期対応には必要でしょう。

※本稿は、経済産業省のサプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループによる中間取りまとめなどの資料、および周辺取材に基づいています。

ここがポイント！

●セキュリティ対策評価制度は、サプライチェーン全体の強靭性（サイバーレジリエンス）を底上げすること。

●5段階でセキュリティ対策状況を格付けし、「一つ星（★1）」から「五つ星（★5）」で可視化。

●「★1」と「★2」はSECURITY ACTIONと連携、評価制度としてサプライチェーン企業への要求は「★3」以上。

●中小企業も評価制度への対応必至、2026年度下期の運用開始に向け早期の準備着手を。