サプライチェーンを狙ったサイバー攻撃が、国内外で急増しています。自組織だけにとどまらず、取引先や委託先を通じてリスクが拡大するこれらの攻撃は、今や全業種に共通する深刻な脅威となっています。こうした背景を受け、日本政府は2024年7月に経済産業省主導のワーキンググループを設置し、2025年4月にはその中間報告を公表しました。
引用:経済産業省ウェブサイト(2025年7月1日参照)
本ブログでは、現在検討が進められている「サプライチェーン強化に向けたセキュリティ対策評価制度」について、特にサプライチェーン対策の検討状況と、制度化に向けて今から始めるべき具体的な対策にフォーカスして解説していきます。
なお、本制度の全体像については、以下のブログ記事で詳しくご紹介しています。まだご覧になっていない方は、ぜひ先にご一読ください。
「サプライチェーン強化に向けたセキュリティ対策評価制度」とは -制度化に備えて今から始めるべき対策
<留意事項>
本ブログは、2025年4月14日に経済産業省より公開された「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」および、同日までに公表された関連資料を基に、2025年7月3日時点の情報をもとに分析・作成したものです。
なお、本制度は現在も検討が進められている段階にあり、今後の議論や公表資料の更新により、内容が変更される可能性があります。記載内容には一部、推測を含む場合があることをあらかじめご了承ください。
「サプライチェーン強化に向けたセキュリティ対策評価制度」とは
現在、経済産業省により検討が進められている「サプライチェーン強化に向けたセキュリティ対策評価制度」は、組織の情報セキュリティ対策状況を“見える化”することを目的とした新たな評価制度です。2024年7月からは、ワーキンググループによる議論がスタートしており、サプライチェーン全体の安全性を高めるための新たな枠組みとして、注目が集まっています。
現時点で示されている制度の大筋
検討の進捗により、以下のような方針が現時点で示されています。
- 2026年下期(10月以降)を目標に制度を開始予定
- 星3〜5の三段階評価制度
- 星3:自己評価
- 星4・星5:第三者評価(※評価方法や頻度などの詳細は未定)
- 評価水準の目標設定(どの組織がどの星を目指すべきか)は検討中
- 評価制度の構成としては3観点・7カテゴリで検討が進行中
- 星3・星4に関しては具体的な評価基準の検討が進行中
- 星5については、各種既存ガイドラインを満たすような高水準の内容を想定しているが、現在も議論中
2025年4月14日の中間報告までにおける、セキュリティ対策評価制度の検討状況まとめ (経済産業省 2025年4月14日中間取りまとめ検討資料を参考にNVCで加工して作成 [2025年7月1日参照] )
”サプライチェーン対策”の検討状況
それでは、「サプライチェーンの防御」の観点から、現在どのような検討が進められているのかを見ていきましょう。
初期の検討方針(2024年7月時点)
制度の初期検討段階である2024年7月時点では、評価の水準ごとに以下のような方向性が示されていました。
- 星3:サプライチェーンにおけるセキュリティリスクの「状況の把握」
- 星4・星5:リスクの「評価」および「対応の実施」
つまり、単なる現状確認にとどまらず、リスク評価と必要に応じた対策の実施までが求められるという方針が打ち出されていたのです。
出典:経済産業省 2024年9月9日 第2回検討資料 9スライド目より (2025年7月1日参照)
最新の検討状況 (星3・星4)
その後の検討を経て、現在では星4までの評価基準が具体化されつつあります。
- 星3では:「サプライチェーンのセキュリティリスク管理に関する方針の明確化」が求められます。
- 星4では:「サプライチェーンの状況の把握と可視化」が必要とされます。
出典:経済産業省 2025年4月14日中間取りまとめ検討資料 24スライド目より (2025年7月1日参照)
当初の方針では、星4から「リスク評価の実施」が求められるとされていましたが、現時点ではそこまで踏み込まず、年に1回のセキュリティ対策評価シートによる確認が想定されています。
出典:経済産業省 2025年4月14日中間取りまとめ検討資料 20スライド目より (2025年7月1日参照)
星5は検討中:今後の見通し
一方で、星5に関しては現在も検討が続いており、具体的な評価項目はまだ示されていません。
2025年10月に予定されている「制度構築方針(案)」の公表に向けて、詳細な内容が明らかになることが期待されます。
なお、現時点では、”星5は「既存の各種ガイドライン(※自工会ガイドラインやISO/IEC 27001など)に準拠できる水準」”をカバーする方向で検討が進められていることが公表されています。
出典:経済産業省 2025年4月14日中間取りまとめ検討資料 21スライド目より (2025年7月1日参照)
実績のあるガイドラインとして参照されることの多い NIST CSF を例にとると、当初の方針と同様に、リスク評価(アセスメント)や監視のプロセスが必要とされる項目も含まれており、星5ではそれらに準じた水準が期待されていると推測できます。
制度化に備えて今から始めるべき”サプライチェーン対策”とは
本制度が本格的に始動するのは、2026年下期(10月以降)とされており、まだ1年以上の猶予があります。
しかし、そもそもこの制度は、サプライチェーンのセキュリティ対策の底上げを目的に経済産業省が主導して進めているものです。制度が始まる前から準備を進め、十分な余裕をもって対策の導入や運用を始めておくことは、実効性の高いセキュリティ対策につなげる上でも非常に有効といえるでしょう。
では、具体的に今取り組むべきサプライチェーン対策とは、どのようなものでしょうか。
実は、この点について参考になるのが、経済産業省が2023年に公開した「ASM導入ガイダンス」です。
出典:経済産業省 Webサイトより (2025年7月1日参照)
本ガイダンスは、組織の公開IT資産(インターネットに接続されているシステムやサービスなど)をどのように管理・運用すべきかをまとめた実践的な手引きであり、サプライチェーン対策にも直結する内容が含まれています。
ASM導入ガイダンスについては、こちらのブログでも詳しく解説していますので、ぜひご参照ください。
【規格/ガイドライン解説】経済産業省 ASM導入ガイダンス
ASM導入ガイダンスによると、このサプライチェーンのセキュリティリスク管理(SCRM: Supply Chain Risk Management)を実現するためには、以下のような対策が重要とされています。
- 対象は「自組織だけでなく、グループ会社や取引先を含むサプライチェーン全体」
- 専用ツールを活用した「システム的な監視」の実施
- 「発見されたリスクに対する継続的な対応」
まさにこれは、サプライチェーン全体の可視化とリスク対応を含む、今組織に求められるセキュリティ対策の方向性を示していると言えるでしょう。
まとめ
現在検討が進められている「セキュリティ対策評価制度」は、まだ正式に制度化されたものではなく、今後も議論の中で方針が変わる可能性があります。
とはいえ、この制度で議論されている内容は、いま組織に求められるセキュリティ対策の方向性を示す非常に参考になる材料です。特に、検討段階で挙げられている課題に対し、一歩先んじた対策を講じておくことは、制度への備えだけでなく、組織全体のセキュリティレベル向上にもつながります。
また、サプライチェーンを狙ったサイバー攻撃が増加している現在、サプライチェーン対策の強化は喫緊の課題です。本制度が示すリスク評価の考え方や、ASM導入ガイダンスが提唱するSCRM(Supply Chain Risk Management)の実現は、今まさに検討を始めるべきアクションの一つといえるでしょう。
弊社では、SCRMの実現をサポートするソリューションとして、SecurityScorecard社の「Ratings」をご提案しています。
Ratingsは、サプライチェーンに関わる外部組織のセキュリティリスクを“定常的に可視化”し、管理を支援するプラットフォームです。定常的な運用支援サービスも併せてご提供できます。
皆様の組織やグループ、取引先のセキュリティリスク評価結果を用いたデモのご案内も可能ですので、ご興味がありましたらお気軽にご相談ください。
