経済産業省が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度」(2025.4.14 / サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ)について調査しました。
近年、サプライチェーンに起因するサイバー・インシデントを背景に、企業の取引においてもサイバーセキュリティ対策の担保が求められる中、受注企業が異なる取引先から様々な対策水準を要求され、発注企業は外部から各企業等の対策状況を判断することが難しいといった課題を解決するための取組みとのことです。
本評価制度は、ビジネス観点(データ保護・事業継続における重要度)、システム観点(接続の有無)で整理されているようです。評価値としては、IPA「SECURITY ACTION」(「★1」「★2」)に次ぐ位置づけとなり、「★3」(BASIC)、「★4」(STANDARD) を定義しています。
制度で用いるセキュリティ要求事項・評価基準としては、「★3」については、一般的なサイバー脅威に対処しうる水準を目指すものとして規定され、「★4」では、初期侵入の防御に留まらず、内外への被害拡大防止・目的遂行のリスク低減によって取引先のデータやシステム保護に寄与する点や、サプライチェーンにおける自社の役割に適合した事業継続を推進している点を規定しているようです (※1)。
本評価制度は、現在「実証実験中」の位置づけであり、2026年度下期より「制度運用開始」(予定) とのことです (※2) 。
セキュリティに関するガイドラインとしては、IPA「中小企業の情報セキュリティ対策ガイドライン」等がありますが、業界固有のものとして「JAMA・JAPIA自工会/部工会サイバーセキュリティガイドライン」や、国際標準である「ISMS適合性評価制度」等があります。本評価制度は、これらと相互補完的な制度として発展することを目指しているとのことです。
本制度がサプライチェーンのみならず、セキュリティ対策に関する良き指針にもなればと考えます。
(※1) セキュリティ要求事項・評価基準の「大項目」として、下記項目が規定されています:
・「★3」: 経営の責任(企業として最低限のリスク管理体制構築、自社IT基盤や資産の現状把握、取引先等に課す最低限のルールの明確化)、サプライチェーンの防御(取引先等に課す最低限のルールの明確化)、IT基盤の防御(不正アクセスに対する基礎的な防御、端末やサーバーの基礎的な保護)
・「★4」: 経営の責任(継続的改善に資するリスク管理体制の構築、インシデントからの復旧手順等の整備、脆弱性など最新状況の把握と反映)、サプライチェーンの防御(サプライチェーンにおける対策状況の把握、取引先等との役割と責任の明確化)、IT基盤の防御(多層防御による侵入リスクの低減、迅速な異常の検知)
(※2) 現時点でのスケジュールは下記とされています:
・2025年4月~9月 実証実験
・2025年10月~12月 要求事項・評価基準・評価スキームの確定
・2026年1月~9月 精度立ち上げ準備
・2026年10月~ 制度運用開始