解説：サプライチェーンセキュリティ評価制度とは

経産省が検討する「★3～★5」評価制度の狙い

経済産業省が検討を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度」は、企業のサイバーセキュリティ対策を可視化し、取引先を含むサプライチェーン全体のセキュリティ水準を底上げすることを目的とした制度である。

近年、サイバー攻撃は大企業だけでなく、取引先や委託先など比較的防御が弱い企業を経由して侵入する「サプライチェーン攻撃」が増加している。こうした状況を受け、企業間取引において「どの程度のセキュリティ対策が実施されているのか」を客観的に確認できる仕組みの必要性が指摘されてきた。

今回の制度は、その課題を解決するため、企業のセキュリティ対策状況を一定の基準に基づいて評価する仕組みとして設計が進められている。

★3～★5の3段階で対策レベルを整理

制度では、企業が実施するセキュリティ対策の成熟度に応じて、以下の3段階で評価を行う想定となっている。

★3（Basic）
サプライチェーン企業が最低限実施すべき基本的なセキュリティ対策を示すレベル。
情報資産管理、基本的なアクセス制御、マルウェア対策、バックアップなど、基礎的な対策を中心に構成される。主に自己評価による確認が想定されている。

★4（Standard）
標準的なセキュリティ対策水準を示すレベル。
組織的なガバナンス、リスク管理、脆弱性管理、インシデント対応など、より体系的なセキュリティ管理が求められる。第三者による評価・認証の導入が検討されている。

★5（Advanced）
高度なセキュリティ対策を実施する企業向けのレベル。
サイバー攻撃への高度な監視・分析能力や、継続的なリスク管理体制などが対象となる想定で、制度の最上位レベルとして検討されている。

なお、企業は必ずしも下位レベルから順番に取得する必要はなく、企業規模や役割に応じて必要なレベルを取得することが想定されている。

NIST CSFなど国際的枠組みを参考

制度設計では、米国のNIST Cybersecurity Framework(CSF)などの国際的なサイバーセキュリティフレームワークが参考とされている。

要求事項は主に以下のような機能領域に整理されている。

• ガバナンス（組織体制、方針、リスク管理）
• 脅威・リスクの特定
• 防御（アクセス管理、システム防御など）
• 検知（ログ監視、異常検知）
• 対応・復旧（インシデント対応、事業継続）

これにより、企業のセキュリティ対策を体系的に評価できるようにする狙いがある。

既存制度との連携も視野

評価制度は、既存のセキュリティ施策との連携も想定されている。

例えば、IPA（独立行政法人 情報処理推進機構）が推進する「SECURITY ACTION」や、ISMS(ISO/IEC 27001)などの認証制度、自動車業界のサイバーセキュリティガイドラインなどとの整合性が検討されている。

これにより、企業が既に実施しているセキュリティ対策や認証を活用しながら、評価制度に対応できる仕組みを目指している。

日本版「Cyber Essentials」になる可能性も

英国では、中小企業向けのセキュリティ認証制度として「Cyber Essentials」が広く普及している。政府調達の条件としても活用されており、企業の基本的なセキュリティ対策の普及に寄与している。

今回の制度も、日本における同様の枠組みとして、サプライチェーンのセキュリティ基準を明確化する役割を担う可能性がある。

経産省では今後、実証事業などを通じて制度の具体化を進め、2026年度の制度開始を視野に検討を進めるとしている。