経産省、サプライチェーン向けセキュリティ評価制度の検討進む

第7回SWGで「★3・★4要求事項および評価基準案」を公開

経済産業省は3月4日、「産業サイバーセキュリティ研究会 ワーキンググループ1（WG1）」の下に設置された「サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ（SWG）」の第7回会合を開催し、パブリックコメントを踏まえた「★3・★4要求事項及び評価基準案」を公開した。資料は同省のウェブサイトで公開されている。

本SWGでは、企業のサイバーセキュリティ対策状況を可視化し、サプライチェーン全体でのセキュリティ水準の底上げを目的とした「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築について検討を進めている。

近年、取引先企業を経由したサイバー攻撃やサプライチェーンを狙ったインシデントが増加する中、企業間取引においてセキュリティ対策をどのように確認・担保するかが課題となっている。制度では、企業が実施すべき対策を段階的に整理し、その達成状況を評価する仕組みの整備を目指す。

セキュリティ対策を★3～★5の3段階で整理

検討中の評価制度では、企業のサプライチェーン上の重要度などを踏まえ、求められる対策水準を「★3」「★4」「★5」の3段階で整理する想定となっている。

今回公開された要求事項・評価基準案では、以下のような位置づけが示されている。

• ★3（Basic）
  サプライチェーン企業が最低限実装すべき基礎的な対策。
  主に基本的なシステム防御策や組織体制の整備など、約25項目で構成される自己評価型の基準。
• ★4（Standard）
  標準的に目指すべきセキュリティ対策を示す段階。
  組織ガバナンス、取引先管理、システム防御、攻撃検知、インシデント対応などを含む包括的な対策を対象とし、約40項目以上の基準が設定される。第三者評価による認証が想定されている。

なお、上位段階は下位段階の取得を必須とするものではなく、企業は自社の状況に応じて★4など上位レベルから取得することも可能とされている。

NIST CSFなど国際標準との整合も意識

制度設計では、米国国立標準技術研究所（NIST）の「Cybersecurity Framework(CSF)」などの国際的な枠組みを参考にしつつ、「ガバナンス」「リスク特定」「防御」「検知」「対応・復旧」といった観点から要求事項を整理している。

また、既存の取り組みである「SECURITY ACTION」や、自動車業界の「JAMA・JAPIAサイバーセキュリティガイドライン」、ISMS適合性評価制度などとの整合性も考慮されている。

2026年度の制度開始を視野に検討

経産省は今後、実証事業などを通じて評価スキームの具体化や制度運営の枠組みを整備し、2026年度の制度開始を目指すとしている。

同制度は、企業が取引先に対して求めるセキュリティ対策レベルを明確化し、サプライチェーン全体でのサイバーセキュリティ強化を図る仕組みとして期待されている。