-
- 【関連資料のご紹介】
- サプライチェーン強化に向けたセキュリティ対策評価制度とは?~企業が押さえるべきポイント
- 資料をダウンロード
1:はじめに
「うちの会社は大丈夫」「小さいから狙われない」――そう思ってセキュリティ対策を後回しにしていませんか?
残念ながら、その考えは通用しない時代になりました。現在、日本中の企業経営者、そして情報システム部門の担当者を最も悩ませているのが、サプライチェーンを狙ったサイバー攻撃です。大企業がセキュリティを固めても、取引先である中小企業の「少し手薄な部分」を侵入口として狙い、最終的なターゲットの機密情報を盗み出す。この手口が、今やサイバー攻撃の主流です。
こうした状況を受け、経済産業省は2026年度からの開始を目指し、「セキュリティ対策評価制度」(サプライチェーン強化に向けたセキュリティ対策評価制度)の導入を推進しています。この新しい制度は、単なる“推奨”の枠を超え、取引先からの信頼を維持し、事業を継続するための「客観的な証明」となるものです。セキュリティ対策は、もはや「推奨」ではなく「ビジネスの必須条件」に変わります。本コラムでは、セキュリティ対策評価制度の全容、その背景にあるサプライチェーンの危機、そして貴社が今すぐ取り組むべき準備、さらにその準備を最も効率的に、かつ確実に進めるための最適なソリューションを解説いたします。
2:セキュリティ対策評価制度とは?その現状と背景
経済産業省が2026年度から開始を目指している新しい制度です。
制度の概要と目的:信頼の証を「★(星)」で可視化する
経済産業省が導入を推進する「セキュリティ対策評価制度」は、企業が実施しているサイバーセキュリティ対策のレベルを共通の評価基準で可視化し、客観的に証明するための仕組みです。
すでに独立行政法人情報処理推進機構(IPA)が推進する「SECURITY ACTION(セキュリティアクション)」(★1、★2)という自己宣言制度の上に、より高度な対策レベル(★3、★4、★5)を新設します。
この制度の目的は、発注元企業が取引先に対し「これくらいのセキュリティ対策はやってほしい」という明確な要件(例:「取引継続には★3評価以上を求めます」)を設定できるようにすることです。また、発注先企業(サプライヤー)にとっては、自社のセキュリティ対策が客観的に証明され、取引先からの信頼を獲得・維持できるという大きなメリットにもつながります。
引用元:IPA「SECURITY ACTIONとは?」
★3以上の評価を得ることは、今後、多くの企業にとって「取引継続のためのパスポート」となり、事業を継続・拡大するための信頼の証となるでしょう。
背景と現状の危機
この制度が始まる背景には、サイバー攻撃の脅威が高度化し、日本の産業全体に深刻なダメージを与えている現状があります。攻撃者は、防御が固い本丸を直接叩くのではなく、セキュリティ人材や予算が不足しがちな「弱い取引先」を狙うサプライチェーン攻撃を主戦場としています。
この攻撃を防ぐためには、自社だけでなく、業界全体でセキュリティ水準を向上させ、防衛ラインの穴をふさぐための改善が不可欠なのです。
3:サプライチェーンとセキュリティの考え方と組織の役割
セキュリティ対策評価制度を正しく理解するには、まず自社が属するサプライチェーン全体をセキュリティの視点から捉え直す必要があります。ここでは、サイバー攻撃のリスクがどのように連鎖するのか、そして、そのリスクを防ぐために組織としてどのようなプロセスで対策を進めるべきかという考え方を解説します。
サプライチェーンとは何か
サプライチェーンとは、製品やサービスがお客様の手元に届くまでの一連の流れ全体を指します。
例えば、部品を調達する会社、部品を加工する会社、完成品を組み立てる会社、それを運ぶ会社、販売する会社…これらすべてがサプライチェーンの構成要素です。そして、サプライチェーン・セキュリティとは、この「つながり」のどこにも脆弱性を作らないための対策全体を意味します。
なぜ取引先のセキュリティが重要なのか
なぜ、自社が万全なのに取引先のセキュリティまで気にしなければならないのでしょうか?それは、自社と取引先のシステムがネットワークで接続されているか、または機密性の高い情報やデータを共有しているからです。企業間の緊密なつながりは利便性が高い一方で、リスクが連鎖しやすい産業構造を生み出しています。
| リスクの例 | 被害の一例 |
|---|---|
| 情報漏洩 | 取引先のPCがマルウェアに感染し、そのPCを経由して、共有している発注元の機密情報や顧客データが盗まれる。 |
| 事業停止 | 取引先の製造システムがランサムウェアで停止し、部品の供給が途切れ、自社の製造ラインもストップしてしまう。 |
| 不正アクセス | 取引先のVPNアカウント情報が盗まれ、その情報を使って発注元のネットワークに侵入される。 |
発注元の企業にとって、セキュリティ対策が不十分な取引先との継続的なビジネスは、自社のリスクを増大させる行為に他なりません。そのため、今後、「★3以上の評価を取得していること」が、発注の条件になっていくのは避けられない流れです。
対策の実施段階とプロセス
新しい評価制度は、以下の段階で構成され、段階を追って継続的な対策を求めています。★1、★2は、独立行政法人情報処理推進機構(IPA)が推進する「SECURITY ACTION(セキュリティアクション)」を参考にした、自己宣言型の取り組みレベルとされています。
今後は、こうした自己宣言にとどまらず、第三者による評価や認証を組み合わせた制度設計が検討されています。これにより、企業のセキュリティ対策状況を客観的に可視化し、取引先や顧客が安心してビジネスを行える環境を整える狙いがあります。
| 段階(★の数) | 制度 | 対策の役割・対象 | 評価項目数・方法 |
|---|---|---|---|
| 1 | SECURITY ACTION | 【基礎対策の第一歩】情報セキュリティの基本的な5つの対策に取り組む企業 | 自己宣言 |
| 2 | SECURITY ACTION | 【基礎対策の達成】IPAが示す中小企業の情報セキュリティ対策ガイドラインを概ね実施した企業 | 自己宣言 |
| 3 Basic |
サイバーセキュリティ対策評価制度 | 【最低限の水準】サプライチェーンを構成する全企業が最低限実装すべきセキュリティ対策 | 25項目、自己評価(+外部確認) |
| 4 Standard |
サイバーセキュリティ対策評価制度 | 【標準的な対策水準】サプライチェーン企業等が標準的に目指すべき、組織ガバナンス等を含む包括的な対策 | 44項目、原則第三者評価(評価コスト軽減策は今後検討) |
| 5 Advanced |
サイバーセキュリティ対策評価制度 | 【到達点・ベストプラクティス】リスクに基づいた改善プロセスの整備と現時点でのベストプラクティスに基づく対策を実施による、自社サプライチェーン全体のセキュリティ水準の確実な向上 | 第三者評価(項目数は今後検討) |
特に中小企業を含むすべてのサプライヤーにまず求められるのが、★3です。
★3の要求事項には、IT資産の正確な把握、脆弱性管理、基本的なアクセス制御など、IT資産管理ツールがなければ実現困難な項目が多く含まれています。
4:評価制度対応に向けた現時点の準備と課題
現時点で制度の詳細を待っている余裕はありません。
この章では、2025年の動きや方針を確認しつつ、各企業が評価制度クリアのために今すぐ着手すべき課題と具体的な改善ポイントを解説します。
2025年のスケジュールと方針
経済産業省は、現時点で2026年度からの本格運用を目指しており、2025年には評価制度の運用ルールや評価基準を確定させ、実証事業を行う予定です。この実証事業の結果やフィードバックが、最終的な方針として公表されます。
制度開始後に準備を始めた場合、評価取得までに時間を要し、その遅れが取引の停滞を招く可能性があります。対策に着手できる期間は、実質的に2026年までと限られています。
今すぐ具体的な対策を開始し、制度開始と同時に評価証明を提示できる体制を整えることが、今後の事業継続と発展の鍵となります。
参考:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」
評価区分と実施内容
「セキュリティ対策評価制度」(特に★3、★4)の評価項目は、国際基準であるNIST CSFに準拠し、以下の観点から構成されています。注目すべきは、これらの項目の多くがIT資産管理の徹底を要求している点です。
| 評価の観点 | 制度で問われる具体的な要求事項(例) | IT資産管理ツールで可能な支援 |
|---|---|---|
| リスクの特定(資産管理) | ハードウェア・ソフトウェア資産が正確に把握されているか。使用を許可されていないソフトウェアや端末がないか。 | IT資産のインベントリ収集機能により、すべてのPC・スマートデバイス情報を自動で漏れなく収集し、見える化 |
| 攻撃等の防御(プラットフォームセキュリティ) | OS、アプリケーションの脆弱性が放置されていないか。セキュリティパッチが最新の状態に保たれているか。 | 自動脆弱性診断とソフトウェア自動更新支援機能で、リスクのある端末を特定しリモートからパッチ適用を促す |
| 攻撃等の防御(データセキュリティ) | 情報漏洩リスクのある外部デバイス(USBメモリなど)の利用が適切に制御されているか。 | 外部デバイス制御機能により、デバイスの種類やユーザーごとに利用を細かく制限・許可し、情報持ち出しリスクを防ぐ |
| ガバナンスの整備 | 定められたセキュリティポリシーが現場で順守され、その証跡(ログ)が残されているか。 | 操作ログ収集機能により、誰が、いつ、どのような操作をしたかを記録し、ポリシー順守の証拠を残す |
| 継続的モニタリング | セキュリティ状況が継続的に監視され、リスクのある端末が自動で検知されているか。 | ダッシュボードによる自動診断結果の確認とアラート機能で、専任管理者でなくても異常をすぐに把握し、是正アクションを取れる |
資料:経済産業省「【参考資料】★3・★4要求事項案・評価基準案」
企業が抱える課題と今後の改善ポイント
サイバーセキュリティ評価制度への対応を含め、セキュリティ対策には様々な対応が求められています。しかし、多くの企業、特に中小企業は、「テレワーク端末の管理が困難」「専任の担当者がいない」「エビデンスとなる資料の作成に工数がかかる」といった課題を抱えています。
課題:テレワーク端末の管理困難
社内ネットワーク外のPCやスマートデバイスのセキュリティ状態が把握できず、パッチ適用も滞りがち。
課題:専任の担当者がいない
他業務と兼任している担当者が、IT資産の棚卸しや脆弱性チェックを手動で行うため、膨大な工数がかかり、継続的な運用が困難になる。
課題:エビデンスとなる資料の作成に工数がかかる
評価を受けるには、「対策をやっている」だけでなく、「対策を継続的に行っている記録」、すなわちログやレポートが必要となるが、その取得・整理が煩雑。
これらの課題を解決し、★3以上の評価を確実に、かつ効率的に取得するためには、クラウド型のIT資産管理ツールの導入が必須の対応ポイントとなります。
5:今すぐ始めるべき行動
現時点で「2026年まで時間がある」と考えるのは危険です。評価制度は、突然始まるのではなく、日々の継続的な対策の積み重ねを評価します。特に中小企業の皆様は、まず組織全体でセキュリティ方針を明確にし、最も基礎的で効果の高い改善プロセスから着手する必要があります。
この章では、対策着手の対象となる各企業が、すぐに取り組める具体的なプロセスと、関連する公開情報をご紹介します。まずは、SECURITY ACTIONでも推奨されている「情報セキュリティ5か条」から始めていきましょう。
情報セキュリティ5か条
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
資料:IPA「情報セキュリティ5か条」
この情報セキュリティ5か条を実践し、★2を達成することが、多くの補助金(例:IT導入補助金セキュリティ対策推進枠)の対象となるための第一歩です。
おすすめ
6:ISM CloudOneが提供する評価制度対応ソリューション
セキュリティ対策評価制度への対応は、多忙な情報システム部門にとって新たな負担となりがちです。制度対応に求められる煩雑な管理業務を自動化・効率化するのが、当社のサービスであるクラウド型IT資産管理ツール「ISM CloudOne」です。
評価対応機能と効果
ISM CloudOneは、セキュリティ対策評価制度(★3以上)で要求される「IT資産管理」「脆弱性管理」「アクセス制御」「ログ取得」という中核的な要件を、クラウドの力で一元的に解決します。
評価の土台を築く「IT資産・脆弱性の可視化」
第一歩は、社内のIT資産を正確に把握することです。
ISM CloudOneは、社内ネットワーク内のPCはもちろん、VPNを使わない在宅勤務端末や海外拠点のPCまで、インターネット接続さえあれば自動で情報を収集・更新します。ハードウェアやソフトウェアの情報が常に最新状態に保たれるため、★3評価で求められる「IT資産の正確な把握」を手間なく実現できます。また、毎日自動更新される独自の辞書と照合することで、OSやアプリケーションの脆弱性を自動診断し、脆弱性がある端末を可視化します。ウイルス対策ソフトの停止やアンインストールなどのセキュリティポリシーに反する設定も検出し、継続的なモニタリングを可能にします。これにより、リスクのある端末を放置せず、制度で求められる「継続的なリスク管理体制」を自然に整えられます。
情報漏洩と攻撃リスクを防ぐ「防御・制御」機能
次のポイントは、発見したリスクにどう対応するかです。
ISM CloudOneでは、脆弱性が確認されたソフトウェアに対して、リモートからパッチ適用を支援します。Windows Updateの適用状況も自動で把握でき、未適用の端末を検出して管理者が迅速に是正できます。この機能によって攻撃リスクの最小化を実現します。さらに、USBメモリやSDカード、スマートフォンなどの外部デバイス制御機能も搭載しており、デバイスの種類やユーザー単位で接続・書き込みを細かく制限できるため、内部不正や情報の持ち出しによる漏えいリスクを防止できます。これらの機能は、評価制度で求められる「アクセス制御とデータ保護の実施」に対応しています。
ガバナンスの証拠を残す「操作ログ収集」
セキュリティ対策評価制度では、体制を整えるだけでなく、「どのように運用されているか」という実績の証拠も求められます。
ISM CloudOneの操作ログ収集機能では、いつ、誰が、どのファイルを操作したか、印刷したか、外部ストレージに書き出したか、といった詳細なPC操作を記録します。これにより、不正操作の抑止だけでなく、万が一インシデントが発生した際にも迅速な原因究明が可能になります。監査や報告時の証跡としても活用でき、評価制度で重視される「ガバナンスとトレーサビリティ(追跡可能性)」を確保します。
自動化による継続的改善
ISM CloudOneの真価は、これらの機能を手間なく、継続的に運用できる点にあります。セキュリティ対策評価制度は、一過性の対策ではなく「継続的な管理」を求めます。多忙なIT管理者にとって、これが最も高いハードルです。
自動診断&ダッシュボード表示
毎日、すべての管理対象端末の状態が自動で診断され、セキュリティレベルがゲージで表示されます。管理者はこのダッシュボードをチェックするだけで、「今、何に手を打つべきか」がひと目で分かります。
遠隔での是正アクション
問題のある端末が特定された際、管理者側でダッシュボードの内容を確認した後に、是正アクション(例:Windows Updateの強制実行)を実行できます。管理者が問題のある端末で操作する必要はありません。
ISM CloudOneは、IT管理者に代わって「あるべき姿」とのギャップを自動で発見し、是正まで導くことで、管理の工数を大幅に削減し、評価制度の継続的な要求に応え続けます。
まとめ:セキュリティ対策評価制度は「信頼される企業」への第一歩
2026年度に本格開始される「セキュリティ対策評価制度」は、単に企業のセキュリティ対策を「評価」するだけでなく、サプライチェーン・セキュリティ時代における「市場での信頼性」を測る新たな物差しとなります。
企業が現在の取引を継続したい、そして新規取引のチャンスをつかみたいと考えるのであれば、最低ラインである★3評価の取得は必須要件となっていきます。
この評価は、特に中小企業の皆様にとって、サイバーリスクを回避し、競争力を高めるための重要な投資なのです。
そして、★3以上の評価を得るために最も不可欠なのは、IT資産の継続的・正確な「見える化」と「制御」です。テレワーク端末を含むすべての資産を把握し、セキュリティポリシーを遵守しているエビデンス(証跡)を継続的に残すこと。これが、多忙な情報システム担当者様にとって最大の壁となります。
ISM CloudOneは、この制度で要求されるIT資産管理、脆弱性対策、ログ管理、テレワーク端末の全方位管理といった中核的な要求事項を、クラウドサービスならではの手軽さと、自動診断・自動是正機能でクリアできる、最も現実的かつ強力な解決策です。
「セキュリティ対策評価制度への対応を、最も効率的に、そして確実に成功させたい」とお考えであれば、ぜひ当社にご相談ください。
貴社の「信頼」を守り、「事業の継続・拡大」を支えるための確かな一歩を、今、踏み出しましょう。
詳しくはこちら
-
- サプライチェーン強化に向けたセキュリティ対策評価制度とは?~企業が押さえるべきポイント
- サイバー攻撃対策は中小企業も必須! 経産省「セキュリティ評価制度」の解説と、ISM CloudOneでの支援策をご紹介します。
