サプライチェーンを狙ったサイバー攻撃が、国内外で急増しています。組織単体にとどまらず、取引先や委託先を通じて広がるリスクは、もはや全業種に共通する深刻な脅威です。こうした現状を受け、日本政府は、2024年7月に経済産業省主導でワーキンググループを設置し、2025年4月にはその中間報告を公開しています。
引用:経済産業省ウェブサイト(2025/4/24参照)
本ブログでは、現在検討が進められている「サプライチェーン強化に向けたセキュリティ対策評価制度」について、制度の概要や検討の背景、そして制度化が進む中で、組織が今から備えておくべき対策についてわかりやすく解説していきます。
対岸の火事と思わず、ぜひ今のうちに一緒にキャッチアップしていきましょう。
「サプライチェーン強化に向けたセキュリティ対策評価制度」とは
現在、経済産業省により検討が進められている「サプライチェーン強化に向けたセキュリティ対策評価制度」は、組織の情報セキュリティ対策状況を“見える化”することを目的とした新たな評価制度です。2024年7月からはワーキンググループによる議論がスタートしており、サプライチェーン全体の安全性を高める枠組みとして注目を集めています。
この制度では、業種や業務形態、取り巻く環境に応じて、複数の観点からセキュリティ対策の実施状況を自己評価および第三者評価の形で確認します。評価は星3〜星5の三段階で行われ、対策の成熟度に応じて段階的なステップアップが想定されています。自組織の現状把握に加え、取引先との信頼関係構築にも資する仕組みです。
たとえば、自組織のセキュリティ対策が星3にとどまっている場合、必要な強化内容が明確となり、星4・星5に向けて段階的に取り組む道筋が可視化されます。また、セキュリティの観点から信頼性の高い取引先を選定する判断材料としても活用でき、業界全体の水準向上を促す効果が期待されます。
引用:経済産業省ウェブサイト(2025/4/24参照)
本制度が検討されている背景
本制度が検討されるに至った背景として、特に大きな要因の一つがサプライチェーンを標的としたサイバー攻撃の増加です。
独立行政法人情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」においても、サプライチェーン攻撃は近年「組織」向け脅威の中で、3年連続で第2位に位置づけられており、我が国における極めて深刻なセキュリティリスクとして認識されています。
出典:情報処理推進機構 (IPA) 「情報セキュリティ10大脅威 2021 ~2025 」を基に、NVCにて表現を一部変更して作成 (2025/4/24参照)
このような攻撃は、一見すると直接的なターゲットではない組織を経由して、最終的に本命の組織へと侵入する“迂回型”の特徴を持ちます。セキュリティ対策が相対的に手薄な中小規模の取引先や委託先などが踏み台とされるケースが増加しています。
参考:サプライチェーン攻撃のイメージ図
そのため、対策は自組織単独では完結せず、サプライチェーン全体を見据えた横断的なセキュリティ強化が不可欠です。
こうした課題認識のもと、サプライチェーン全体の安全性を高めることを目的に、本制度の設計・導入に向けた検討が進められています。
今後の制度導入に備え、今から始めるべき対策とは?
本制度は、2026年の制度化を目標に議論が進められています。現時点での最新情報は、2025年4月14日に経済産業省より公開された「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」です。今後は、この内容を基に、さらに制度の具体化が進められていくと見込まれています。
参考:経済産業省
それでは、この中間報告を踏まえて、組織が今から備えるべき、優先度の高い対策とは何でしょうか。
制度案における評価項目は、「経営の責任」「サプライチェーンの防御」「IT基盤の防御」の3つに大分類されています。これらを弊社の視点でさらに整理すると、以下の5つの観点に分類できます:
|
経営の責任 |
組織の体制の整備 |
|
サプライチェーンの防御 |
サプライチェーン対策 |
|
IT基盤の防御 |
サイバー攻撃の検知 |
引用:経済産業省ウェブサイト (2025/4/24参照)
これらの観点に対して、多くの組織ではすでに何らかの取り組みが行われているかもしれません。しかし、弊社のお客様の状況をお伺いすると、「組織内の資産の可視化」と「サプライチェーン対策」の2点については、目の前の課題が優先され、重要性は理解しつつも具体的な対応にまで至っていないケースが多いと感じています。
この2つの観点については、制度の正式導入を待たずに、今から重点的に準備を進めることが重要だと考えています。
組織内の資産の可視化
自組織のIT資産(ハードウェア、ソフトウェア、クラウド環境など)を正確に把握し、それらに潜む脆弱性や設定不備といったリスクを“見える化”することが基本となります。これにより、サイバー攻撃の成功確率を下げ、被害の最小化が可能になります。
特に2024年以降では、「CTEM(Continuous Threat Exposure Management:継続的脅威曝露管理)」という予防的対策の考え方が注目されています。これは、リスクに“対処する”だけでなく、“攻撃される前に備える”という視点からセキュリティのあり方を再構築するものです。
「CTEM」の詳細はこちらのブログを参照ください。
サプライチェーン対策
長年、多くの組織が課題としてきたのが、グループ内や取引先のセキュリティ状況の把握です。従来は質問票(アンケート)形式でのヒアリングが中心でしたが、近年ではより効率的で客観性の高いアプローチとして、第三者評価による「セキュリティレーティング」ソリューションが注目を集めています。
これにより、グループ各組織や主要な取引先に対して継続的なセキュリティ監視を行う、いわゆるTPRM(Third Party Risk Management:サードパーティリスク管理)に取り組む動きが拡大しています。
「セキュリティ レーティング」の詳細はこちらのブログを参照ください。
まとめ
「サプライチェーン強化に向けたセキュリティ対策評価制度」は、現在検討が進められている段階であり、今後の議論によって内容が変化する可能性も十分にあります。
とはいえ、その方向性は、これまで整備されてきた各種ガイドラインと大きく逸れるものではありません。共通の指標に基づいて組織のセキュリティ対策状況を評価し、継続的に改善を促す仕組みは、今後さらに重要性を増すと考えられます。
不確定な部分が残る今だからこそ、できることから一歩ずつ備えておくことが、将来の制度対応をスムーズにし、組織としての信頼性向上にもつながるはずです。
弊社では、お勧めした2つ観点からCTEM関連のソリューション、TPRM観点のソリューションを提供しています。
Orca Security:CNAPPソリューションとして、組織の利用するあらゆるクラウドサービス(IaaS/PaaS)の可視化及びリスク対策を実現
SecurityScorecard:TPRM/セキュリティ レーティングソリューションとして、サプライチェーン内の組織単位の公開IT資産を可視化及びリスク対策を実現
これらのソリューションにご興味のある方は、ぜひお気軽にお問い合わせください。
現在受付中のセミナー・イベント
クラウド運用の最新セキュリティ対策2025:今すぐ取り組むべき最優先事項とは?
本セミナーでは、クラウドの各サービス形態の特性を整理し、それぞれにおける運用上の課題と解決策を、SASEとCNAPPの領域を中心に最新のソリューションを踏まえてご紹介します。
