初回公開日:2025年11月20日
「うちの会社は大丈夫」「小さいから狙われない」――そう思ってセキュリティ対策を後回しにしていませんか?
こうした認識は、すでに現実と合わなくなりつつあります。
現在、サプライチェーンを狙ったサイバー攻撃が主流となり、取引先の“弱い部分”が突破口として悪用されるケースが増えています。
こうした状況を受け、政府はサプライチェーン全体のセキュリティ水準を底上げする新たな評価制度の整備を進めています。制度は構想段階を経て具体化のフェーズに入りつつあり、企業にも準備が求められる段階に入っています。
本コラムでは、制度の背景と最新動向を整理し、企業が取り組むべき対応策をわかりやすく解説します。
-
- 【関連資料のご紹介】
- サプライチェーン強化に向けたセキュリティ対策評価制度とは?~企業が押さえるべきポイント
- 資料をダウンロード
1:セキュリティ対策評価制度とは?背景と目的
本制度は、サプライチェーン全体のサイバーセキュリティ水準を底上げすることを目的とした新たな評価制度です。経済産業省が2026年度末の開始を目指して整備を進めています。
2025年12月に「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))が公表され、評価区分(★3・★4・★5)や運用の方向性が示されました。
現在は制度開始に向け、評価基準の具体化が進められています。
出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月26日発表)
制度の概要と目的:信頼の証を「★(星)」で可視化
本制度は、企業のサイバーセキュリティ対策を共通の基準で評価し、客観的に証明するための仕組みです。
独立行政法人情報処理推進機構(IPA)が推進する「SECURITY ACTION(セキュリティアクション)」(★1、★2)という自己宣言制度の上に、より高度な対策レベル(★3、★4、★5)として新設されます。
出典:IPA「SECURITY ACTIONとは?」
制度では、サプライチェーン全体のセキュリティリスクを適切に管理するため、発注元と受注側の双方に共通の評価基準が示されます。
発注元企業にとっては、取引先に対し求めるセキュリティ水準を明確に提示できるようになります。一方、受注側企業にとっても、複数の取引先から異なるセキュリティ要求を課される負担が軽減されます。
また、共通基準に基づく評価を取得することで、自社の対策を客観的に示す手段となります。
今後は、評価水準が取引判断の参考情報として扱われる場面も出てくるでしょう。制度自体は強制ではありませんが、市場の動向次第では、評価水準が実質的な基準として意識される可能性もあります。
背景と現状の危機
この制度が始まる背景には、サイバー攻撃の脅威が高度化し、日本の産業全体に深刻なダメージを与えている現状があります。攻撃者は、防御が固い本丸を直接叩くのではなく、セキュリティ人材や予算が不足しがちな「弱い取引先」を狙うサプライチェーン攻撃を主戦場としています。
この攻撃を防ぐためには、自社だけでなく、業界全体でセキュリティ水準を向上させ、防衛ラインの穴をふさぐための改善が不可欠なのです。
2:サプライチェーンリスクとは?なぜ取引先対策が重要なのか
「サプライチェーン強化に向けたセキュリティ対策評価制度」を正しく理解するには、まず自社が属するサプライチェーン全体をセキュリティの視点から捉え直すことが重要です。ここでは、サイバー攻撃のリスクがどのように連鎖するのかを整理します。
サプライチェーンとは何か
サプライチェーンとは、製品やサービスがお客様の手元に届くまでの一連の流れ全体を指します。
例えば、部品を調達する会社、部品を加工する会社、完成品を組み立てる会社、それを運ぶ会社、販売する会社…これらすべてがサプライチェーンの構成要素です。そして、サプライチェーン・セキュリティとは、この「つながり」のどこにも脆弱性を作らないための対策全体を意味します。
なぜ取引先のセキュリティが重要なのか
なぜ、自社が万全なのに取引先のセキュリティまで気にしなければならないのでしょうか?
それは、自社と取引先のシステムがネットワークで接続されているか、または機密性の高い情報やデータを共有しているからです。企業間の緊密なつながりは利便性が高い一方で、リスクが連鎖しやすい産業構造を生み出しています。
主なリスクの例
-
- 情報漏えい
- 取引先端末を経由して機密情報が流出する。
-
- 事業停止
- 取引先のシステム停止が自社の製造・提供停止に波及する。
-
- 不正アクセス
- 取引先の認証情報を悪用し自社ネットワークへ侵入される。
つまり、サプライチェーン全体のどこかに脆弱性があれば、その影響は連鎖的に広がります。
対策の実施段階とプロセス
こうしたリスクに対応するため、制度では対策水準を★1〜★5の段階で整理しています。★1、★2は、独立行政法人情報処理推進機構(IPA)が推進する「SECURITY ACTION(セキュリティアクション)」を参考にした、自己宣言型の取り組みであり、その上位区分として★3〜★5が位置づけられています。
まずは評価区分の全体像を整理します。
★1(自己宣言)
基礎的な対策に着手する段階。
★2(自己宣言)
基礎対策を継続的に実施できる体制を整える段階。
★3(専門家確認付き自己評価)
サプライチェーン企業が最低限実装すべき基礎対策を実施(有効期間:1年)。
★4(第三者評価)
ガバナンスや取引先管理を含む標準的水準(有効期間:3年)。
★5(第三者評価)
国際規格に基づくリスクベースの高度水準。
※令和8年度以降、対策基準や評価スキームの具体化の検討を進める。
制度構築方針(案)では、★3が多くのサプライチェーン企業にとって一つの基準として想定されています。まずは★3水準の体制整備が、多くの企業にとって現実的な第一目標となるでしょう。また、今回示された評価体系では、単に対策を実施しているかどうかを見るだけでなく、対策を継続して実行するための体制が整っているかや、実施状況を示す情報が適切に管理されているかといった観点も評価対象になる方向性が示されています。
制度は段階的な評価構造となっており、自社の現状を把握しながら着実に水準を高めていくことが想定されています。
3:セキュリティ対策評価制度の対応に向けた準備
2026年度末の制度開始に向け、評価区分や運用体制の方向性が段階的に具体化しています。制度開始を見据え、段階的に体制を整えていくことが現実的な対応となります。
企業が優先して取り組むべきポイントは、次の3点です。
- IT資産の棚卸しと可視化
- 脆弱性・パッチ管理の仕組み化
- ログ取得・エビデンス管理体制の整備
★3水準では、単に対策を実施しているだけでなく、「説明可能な状態」が重視される方向性が示されています。そのため、対策内容や運用状況を証跡として残せる設計が重要になります。
参考:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」
では、実際に評価ではどのような観点が問われるのでしょうか。
評価区分と実施内容
評価制度(特に★3、★4)では、国際基準である米国国立標準研究所(NIST)の CSF(サイバーセキュリティフレームワーク)の考え方を踏まえ、以下の観点から対策状況が確認されます。
特徴的なのは、多くの項目でIT資産管理の徹底が前提となっている点です。
| 評価の観点 | 制度で問われる具体的な要求事項 | 制度対応の効率化 |
|---|---|---|
| リスクの特定(資産管理) | ハードウェア・ソフトウェア資産が正確に把握されているか。使用を許可されていないソフトウェアや端末がないか。 | 資産情報を継続的に把握・更新できる仕組みが必要。 |
| 攻撃等の防御(プラットフォームセキュリティ) | OS、アプリケーションの脆弱性が放置されていないか。セキュリティパッチが最新の状態に保たれているか。 | 脆弱性情報の把握と更新管理を継続できる体制が重要。 |
| 攻撃等の防御(データセキュリティ) | 情報漏洩リスクのある外部デバイス(USBメモリなど)の利用が適切に制御され、情報持ち出しリスクが管理されているか。 | 利用ルールの明確化と技術的制御の両立が求められる。 |
| ガバナンスの整備 | 定められたセキュリティポリシーが現場で順守され、その記録(ログ)が残されているか。 | 運用記録をとして、誰が、いつ、どのような操作をしたかを記録し、後から確認できる状態が必要。 |
| 継続的モニタリング | セキュリティ状況が継続的に監視され、リスクのある端末が自動で検知されているか。 | 定期的な確認と是正プロセスの確立が求められる。 |
資料:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」
4:企業が抱える課題と今後の改善ポイント
サイバーセキュリティ評価制度への対応では、単に個別の対策を実施するだけでなく、継続的に管理・運用できる体制の構築が重要になります。
特に★3水準では、IT資産管理や脆弱性対応、アクセス制御、ログ管理などが評価対象となり、日常的に管理が機能している状態が求められます。
しかし実際には、多くの企業、特に中小企業で次のような課題が見られます。
課題:テレワーク端末の管理が困難
制度では、IT資産の正確な把握と管理状況が重要な評価観点となります。
社内ネットワーク内の端末だけでなく、テレワーク端末や私物利用端末も含めて、網羅的に把握できているかが問われます。資産情報がExcel台帳などで断片的に管理されている場合、継続的な管理体制として十分といえる状態を維持するのは容易ではありません。
“把握しているつもり”ではなく、常に最新状態を確認できる仕組みが重要になります。
課題:専任の担当者がいない
評価制度では、技術対策だけでなく、組織としての責任体制も確認対象となります。
- 誰が責任者なのか
- どのような承認プロセスで運用しているのか
- 是正対応はどのように実施・記録されるのか
こうした運用ルールが整理されていなければ、継続的な管理体制を示すことは難しくなります。しかし現実には、情報システム担当者が他業務と兼任しているケースも多く、属人的な運用に依存している企業も少なくありません。制度対応は、属人化からの脱却も重要なテーマとなります。
課題:証跡管理・説明準備の負担
★3水準では第三者評価を前提とするため、実施している対策や管理状況について、一定の説明が求められます。
その際、
- IT資産が適切に管理されているか
- 脆弱性対応が継続的に実施されているか
- アクセス制御やログ管理が実効的に機能しているか
といった点を、客観的に示せる状態であることが重要になります。
手作業による資料作成に依存している場合、評価時の負担が大きくなるだけでなく、継続運用も困難になります。
そのため、ログや管理情報を日常的に取得・保存し、必要に応じて提示できる仕組みを整えておくことが、現実的な対応策といえるでしょう。
今後の改善ポイント
制度対応を円滑に進めるためには、
- IT資産の可視化
- 脆弱性管理の継続的な運用
- 操作ログの取得と保存
- 責任体制と是正プロセスの明確化
といった基盤整備が重要になります。
評価制度は、一度対策を実施すれば終わるものではありません。対策が継続的に管理されている状態そのものが評価対象となります。
そのため、人手に頼った一時的な対応ではなく、日常業務の中で無理なく回る運用体制を整えられるかどうかが、★3水準を見据えた際の一つのポイントになります。
こうした課題を一度に解決しようとすると、負担が大きく感じられるかもしれません。ただ、制度対応は最初から★3水準を目指す必要はありません。まずは基本的な対策を着実に実施し、組織としての土台を整えることから始めてみてください。
その出発点として活用できるのが、SECURITY ACTIONです。
5:評価制度に向けた基礎対策(SECURITY ACTIONの活用)
2026年度末の制度開始を前に、「何から始めればよいのか」と迷う企業も少なくありません。評価制度は日々の積み重ねが問われる仕組みです。特に中小企業にとっては、まず組織全体でセキュリティ方針を明確にし、実行可能な基礎対策から段階的に整備していくことが現実的なアプローチとなります。
その第一歩として活用できるのが、IPAが推進する「SECURITY ACTION(セキュリティアクション)」です。★1・★2は自己宣言型の取り組みとして位置づけられており、まず取り組みやすい水準といえます。中でも制度内で示されている「情報セキュリティ5か条」は、今日からでも着手できる実践的な項目です。
まずは、次の5つが基本です。
情報セキュリティ5か条
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
資料:IPA「情報セキュリティ5か条」
情報セキュリティ5か条は、組織としての基本を整える出発点です。
ただし、★3水準を見据えるなら、実施するだけでなく、その後の管理や記録まで含めて体制として回せるかどうかがポイントになります。
では、そのためには具体的にどのような管理体制を整備すればよいのでしょうか。
6:評価制度対応を現実的に進めるために
これは多くの企業にとって、最もハードルが高いポイントでもあります。
★3水準を見据えた場合、問われるのは、リスクを安定して管理できる体制そのものです。しかし現実には、多くの企業で次のような課題が挙がります。
- IT資産の台帳が最新状態に保たれていない
- 脆弱性情報の収集やパッチ管理が属人的になっている
- ログは取得しているが、活用や保管体制が整っていない
- テレワーク端末や拠点外PCの管理が十分にできていない
制度は「対策を実施したかどうか」だけでなく、それを継続的に管理できているかどうかを評価します。そのため、人手だけで運用を回し続けるには限界があるのも事実です。
制度要件に対応するための具体的な管理ポイント
特に重要となるのは以下の4領域です。なお、★3水準では体制整備や取引先管理、インシデント対応体制の構築も求められますが、ここでは日常的な運用管理の観点から特に重要なポイントを整理します。
| 要件 | 管理のポイント |
|---|---|
| IT資産の正確な把握 | すべてのPCやソフトウェアの状況を正確に把握し、常に最新状態を維持することが基本です。社内ネットワーク内だけでなく、テレワーク端末や拠点外PCも対象になります。 |
| 脆弱性の継続的な管理 | OSやアプリケーションの更新状況を確認し、未適用の端末を迅速に特定・是正できる体制が求められます。 |
| アクセス制御とデータ保護 | 外部デバイスの利用制御や、セキュリティポリシーに反する設定の検出など、内部不正や情報漏えいを防ぐ仕組みも評価対象です。 |
| 操作ログの取得と証跡管理 | 「対策している」だけでなく、「運用している証拠」を示せることが重要です。誰が・いつ・何を操作したのかを追跡できる体制は、監査やインシデント対応時にも不可欠です。 |
ツール活用という選択肢
これらをすべて人手で継続的に管理するのは、多忙な情報システム部門にとって大きな負担となります。そのため、IT資産管理ツールを活用し、可視化・診断・是正を自動化する企業も増えています。
たとえば、クラウド型IT資産管理サービスの一例として「ISM CloudOne」のような製品では、
- 端末情報の自動収集・更新
- OS・アプリケーションの脆弱性診断
- Windows Update適用状況の把握
- 外部デバイス制御
- PC操作ログの収集と保存
といった機能により、制度対応に必要な情報を日常業務の中で自然に蓄積できる仕組みが整います。重要なのは、特定の製品を導入すること自体ではなく、「継続的に回る管理体制」を構築することです。
ツールを活用することで、
- 属人化の排除
- 管理工数の削減
- 証跡の自動蓄積
といった効果が期待でき、制度対応を“特別な業務”ではなく“日常業務の延長”へと転換しやすくなります。
セキュリティ対策評価制度は「一時対応」ではなく、運用設計
セキュリティ対策評価制度は、チェックリストを埋めるためのものではありません。求められているのは、継続的にリスクを管理できる体制そのものです。
そのため重要なのは、「制度が始まるまでに整える」ことではなく、制度開始後も安定して回り続ける運用設計を構築することです。
制度を負担と捉えるのではなく、自社のセキュリティ基盤を見直す機会として活用していく視点も大切です。
7:セキュリティ対策評価制度が示す、これからの信頼のかたち
まもなく本格開始を迎えるセキュリティ対策評価制度は、単なる認証取得にとどまらず、サプライチェーンの一員としての姿勢を示す仕組みといえます。
2026年度末の開始を見据え、まずは自社の現状を把握することから始めてみてはいかがでしょうか。なお、中小企業向けにはサイバーセキュリティお助け隊サービス(新類型)の創設も予定されており、専門家の伴走支援を受けながら対策を進められる仕組みも検討されています。リソースに不安のある企業にとっては、こうした支援策の活用も一つの選択肢となるでしょう。
まずは、自社のIT資産台帳が「最新状態」と言い切れるかを確認してみてください。その一歩が、将来の取引機会を守ることにつながります。
制度対応に向けた運用体制の具体例については、参考情報として以下もご参照ください。
詳しくはこちら
-
- サプライチェーン強化に向けたセキュリティ対策評価制度とは?~企業が押さえるべきポイント
- サイバー攻撃対策は中小企業も必須! 経産省「セキュリティ評価制度」の解説と、ISM CloudOneでの支援策をご紹介します。
