近年、サイバー攻撃は急速に高度化しており、標的は特定の企業にとどまらず、取引先や委託先を含むサプライチェーン全体へと広がっています。このため、企業には自社だけでなく、取引関係全体を視野に入れたセキュリティ対策の構築が求められるようになりました。
しかし、どのレベルまで対策を整えれば十分なのかを判断する指標がわかりにくく、企業間でセキュリティ水準の評価方法が統一されていないという課題が存在していました。
こうした状況を受け、経済産業省は、企業のセキュリティ対策状況を共通の基準で可視化する「セキュリティ対策評価制度」の整備を進めています。本記事では、2026年に本格運用が予定されている本制度について、仕組みの概要、企業活動への影響、導入に向けた準備のポイントを整理して解説します。
セキュリティ対策評価制度とは?
セキュリティ対策評価制度は、サプライチェーンのセキュリティ強化に向けて経済産業省が推進している制度です。ここでは、本制度の概要や背景、目的について解説します。
制度の概要
セキュリティ対策評価制度は、企業が実施しているサイバーセキュリティ対策の状況を、統一された基準に基づいて評価し、その結果をわかりやすく示すための仕組みです。
制度の運用では、企業自身による自己評価と、専門の第三者機関による確認を組み合わせた方法が採用されます。評価結果は段階ごとに整理され、★3〜★5といった形式で表示されるため、自社の対策水準を一目で把握できるようになります。さらに、取引先と評価結果を共有することで、セキュリティ水準の比較や信頼性の確認も円滑に進められます。
本制度は2026年度の本格運用を目標に準備が進められており、現在は制度の詳細設計と実証検証が並行して行われています。
出典:「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました(経済産業省)
サプライ チェーンのセキュリティについては、以下の記事で詳しく解説しています。あわせてお読みください。
サプライチェーンを狙う攻撃が増加中!企業が今すぐ始めるべきセキュリティ対策とは
制度の背景・趣旨
近年では、セキュリティ対策が十分でない企業を踏み台にしたサプライチェーン攻撃により、大企業や社会インフラにまで被害が拡大する事例が相次いで報告されています。また、発注企業ごとに異なるセキュリティ要件が存在し、特に中小企業では「どこまで対策を講じればよいのか分からない」という状況が続いていました。
このような課題を解消するため、共通の評価基準を整備し、企業間の認識のズレを減らすことが強く求められるようになりました。セキュリティ対策評価制度は、こうした背景を踏まえて検討が進められています。
中小企業のセキュリティ対策については、以下の記事で詳しく解説しています。あわせてお読みください。
中小企業こそ必須!セキュリティ対策の基本からポイントまで解説
制度の目的
セキュリティ対策評価制度の主な目的は、サプライチェーン全体のサイバーセキュリティ水準を底上げすることです。企業のセキュリティ対策状況を「見える化」することで、発注企業は取引先のリスクを合理的に判断でき、受注企業は自社の取り組みを客観的に示すことができます。
また、本制度ではセキュリティ対策を単なるコストではなく、取引上の信頼性や企業価値を高める要素として位置付けています。評価制度の導入により、企業が自発的にセキュリティ対策の改善に取り組む環境を整えることも重要な目的のひとつです。
評価制度の仕組み
セキュリティ対策評価制度は、企業のセキュリティ対策レベルを可視化して評価することで、サプライチェーン全体の信頼性向上を目指しています。ここでは、既存の関連制度との関係や評価段階の概要、評価基準の考え方について解説します。
既存の関連制度との関係
本制度は、既存のセキュリティ関連施策との連携を前提として設計されています。たとえば、IPAが推進する「SECURITY ACTION」など、自己宣言型の取り組みを基礎とし、段階的に評価レベルを高めていくことが想定されています。
また、ISMS(ISO/IEC 27001)などの既存認証制度を否定するものではなく、これらの認証取得状況が評価の参考となる可能性もあります。さらに、英国のCyber Essentialsなど国際的な制度との整合性も考慮されており、日本企業が国内外の取引において不利にならない制度設計が検討されています。
評価段階(格付け制度)の概要
本制度では、企業のセキュリティ対策状況をわかりやすく示すため、段階的な格付け制度の導入が予定されています。想定されている評価段階は、★3から★5までの3段階です。
各評価段階の概要は以下のとおりです。
★3:基礎的なセキュリティ対策が実施されている状態を示します。主に自己評価を中心とした確認が想定されています。
★4:標準的なセキュリティ対策レベルを満たしている状態です。第三者評価を含むことが想定されています。
★5:高度なセキュリティ対策レベルを示します。国際的な基準に相当する水準を満たす企業が対象となる見込みです。
この評価段階を活用することで、企業は自社のセキュリティ成熟度を把握し、現状に応じた段階的な対策を進めることが可能になります。
評価基準の考え方
評価基準は、技術的な対策だけでなく、組織・運用面も含めた多面的な観点で構成される予定です。具体的には、ガバナンス体制、リスク管理の仕組み、インシデント対応能力などが評価対象となります。
また、企業がサプライチェーンの中で担う役割や扱う情報の重要性を考慮し、過度な負担とならない現実的な基準とすることが重視されています。単発の対策ではなく、継続的な改善を前提とした評価制度である点も特徴です。
企業に与える影響
セキュリティ対策評価制度が本格導入されることで、企業にはさまざまな影響が想定されてます。ここでは、本制度が企業に与える影響について解説します。
影響①取引条件やパートナー選定への影響
評価制度が導入されることで、発注企業は取引先に求めるセキュリティ要件を明確に示しやすくなります。評価結果が取引条件の一部として活用される可能性もあり、企業間のセキュリティ水準を客観的に比較できるようになります。
その結果、セキュリティ対策の状況が取引の継続や新規受注に影響するケースも想定され、企業にとって無視できない要素になりえます。
影響② 中小企業への影響
中小企業は「どこまで対策をすべきかがわからない」といった課題がありましたが、評価基準を参照することでセキュリティ対策の優先順位付けが可能になります。また、評価結果を取引先への信頼性アピールとして活用できるといったメリットもあります。
一方で、評価取得に向けた準備や運用負担が課題となる可能性もあり、計画的な対応が求められます。
影響③経営・リスクマネジメントへの影響
評価制度は、経営層がセキュリティ対策を経営課題として捉えるきっかけにもなります。自社のリスクを可視化することで、投資判断の材料として活用でき、限られたリソースを効果的に配分することが可能になります。
また、サプライチェーン全体を意識したリスク管理体制の強化にもつながり、インシデント発生時の被害を軽減する効果が期待できます。
評価取得に向けた具体的なステップ
セキュリティ対策評価制度の取得に向けて、企業は計画的に準備を進める必要があります。ここでは、本制度の評価取得に向けた具体的なステップについて解説します。
ステップ① 現状把握と目標設定
まずは、自社で取り組んでいるサイバーセキュリティ対策について現状把握を行うことが重要です。現行の対策内容を整理し、評価制度で想定される評価レベル(★3〜★5)とのギャップを分析します。そのうえで、目標とする評価レベルを設定し、足りていない部分や必要な対策を明確にします。
また、ギャップ分析の結果をもとに、段階的なロードマップを作成することで、計画的に準備を進めることがが可能になります。
ステップ② 社内体制の整備と構築
次に、評価基準に対応できる社内体制の整備が必要になります。たとえば、セキュリティポリシーの整備、リスク評価プロセスの構築、インシデント対応体制の強化などを進めます。
また、アクセス制御の見直しやログ監視体制の整備といった技術的対策も重要です。自社だけでの対応が難しい場合は、外部の専門機関やパートナー企業との連携も検討することが推奨されます。
ステップ③ 第三者評価への準備
本制度の★4以上の評価を取得するためには、第三者評価による認定が検討されています。第三者評価を受ける前段階として、まずは自己評価の実施が不可欠になります。評価基準に基づき、自社のセキュリティ対策状況を客観的に確認し、課題を洗い出します。
その結果を踏まえ、改善策を実施し、運用・見直しを繰り返す改善サイクルを構築します。第三者評価に備えるためには、この改善サイクルを定期的に回していくことが重要になります。
まとめ:本格導入に向けて計画的な準備を
セキュリティ対策評価制度は、サプライチェーン全体のセキュリティ水準を向上させることを目的とした制度です。2026年の本格導入に向け、企業は早期の準備が求められます。
本制度への対応は、単なる義務ではなく、取引上の信頼性や企業価値を高める機会でもあります。制度の動向を注視しながら、自社の現状に合わせて計画的な準備を進めていくことが重要です。