サプライチェーン強化に向けたセキュリティ対策評価制度（案）の解説

経済産業省が2026年下期の制度開始を目指しているサプライチェーン企業におけるサイバーセキュリティ対策の格付け制度である「サプライチェーン強化に向けたセキュリティ対策評価制度」について、中間取りまとめ時点における検討状況のポイントを解説します。

要点

• サプライチェーンを取り巻く環境から、自社のみならず委託先・調達先となるサプライチェーン企業におけるセキュリティ対策を強化していくことが急務である。
• 発注側は委託先に求めるセキュリティ対策を提示し、受注側は自社のセキュリティ対策の状況を証明するための評価制度として検討が進められている。
• 2025年4月に本評価制度の中間取りまとめが公表され、2026年下期の制度運用開始に向けた実証事業が進められる。

1. サプライチェーンを取り巻く環境

情報処理推進機構（IPA）が年次で公開している「情報セキュリティ 10大脅威（組織編）」の2025年最新版によると、2019年の初選出から連続で選出されている「サプライチェーンの弱点を悪用した攻撃（最新版では、サプライチェーンや委託先を狙った攻撃）」は、23年から3年連続で2位となっており、サイバーセキュリティにおけるサプライチェーンの重要性は高まっています。

実際に、委託先が所有するPCがマルウェアに感染したことにより第三者から不正アクセスを受けた事例や、製造業におけるサプライヤーがランサムウェア攻撃を受けて自社の全工場の稼働が停止した事例等のサイバーインシデントが多発しており、自社のみならず、取引先や委託先、調達先も含めた自社が関わるサプライチェーン全体でセキュリティ対策を講じることが求められています。

しかしながら、業界や企業規模、扱う情報の重要性等により、サプライチェーンを構成する企業に求められるセキュリティ対策の水準はさまざまであり、実態を踏まえた対策状況を可視化する仕組みを構築することが急務です。

このような背景のもと、経済産業省と内閣サイバーセキュリティセンター（NISC）が中心となり、産業サイバーセキュリティ研究会内のワーキンググループにて、「サプライチェーン強化に向けたセキュリティ対策評価制度」の検討が進められています。

現時点で本評価制度は検討途中ですが、2025年4月14日に公表された中間取りまとめに基づき、本評価制度のポイントを解説します。

2. サプライチェーン強化に向けたセキュリティ対策評価制度について

2-1. 評価制度の概要

本評価制度は、ビジネス・ITサービスサプライチェーンにおける、以下リスクに対する適切なセキュリティ対策の実施を促し、サプライチェーン全体でのセキュリティ対策水準の向上を図ることを目的として、制度構築の検討が進められています。

• 取引先へのサイバー攻撃を起因とした情報セキュリティリスク（機密性・完全性・可用性への影響）
• 製品・サービスの提供途絶リスク（事業継続性への影響）
• 取引ネットワークを通じた不正侵入等のリスク

評価に当たっては、サプライチェーンに関わるすべての企業が対象となり、2社間の取引において、発注側は委託先に求めるセキュリティ対策を提示し、受注側は自社のセキュリティ対策の状況を客観的に証明するものとして適切な段階（★3～5）を取得することが期待されています。

対策分類は、海外の類似制度（英国 Cyber Essentials等）、関連制度や各産業のガイドラインの内容を踏まえつつ、NIST Cybersecurity Framework 2.0の6機能（統治・特定・防御・検知・対応・復旧）に、サプライチェーン対策の「取引先管理」を加えた7分類（ガバナンスの整備・取引先管理・リスクの特定・システムの防御・攻撃等の検知・インシデントへの対応・インシデントからの復旧）とし、先行する自己評価の仕組みである「JAMA・JAPIA自工会/部工会サイバーセキュリティガイドライン」や国際標準「ISMS適合性評価制度」等と、相互補完的な制度として発展することを目指しています。

評価制度は、企業が実施するセキュリティ対策レベルを5段階（★1～5）に分類し、★1と★2は既存のSECURITY ACTION（セキュリティ対策自己宣言）として、★3～5を本評価の対象とすることが示されています。

評価スキームについて、★3は自己評価（専門家の助言プロセスを踏んだ上での登録機関への登録・公開）とし、★4と★5は第三者評価（評価機関又は技術検証事業者による検証・評価）として、今後の実証事業を踏まえて決定される予定です。

2-2. 本制度の対象範囲、対象事業者

本制度の対象事業者は、以下となることが示されています。

• ビジネスサプライチェーンに係る事業者（物資・役務の調達等）
• ITサービスサプライチェーンに係る事業者（MSP、クラウドサービス等を含む）

なお、ITサービスサプライチェーンに係る事業者については、本制度と同じ産業サイバーセキュリティ研究会内のワーキンググループ「サイバーインフラ事業者に求められる役割等の検討会」にて検討されている「サイバーインフラ事業者に求められる役割等に関するガイドライン」（自己適合宣言となる想定）にも該当することが考えられるため、合わせて検討状況を確認する必要があります。

セキュリティ対策の実施主体は、2社間の契約における受注側企業であり、評価取得の申請は基本的に法人単位又は企業グループ単位（自社IT基盤を中心としたセキュリティ対策の向上に責任を有する単位）を想定し、今後具体化を進めていくこととしています。

評価対象の環境は、サプライチェーンを構成する事業者のIT基盤（オンプレミス環境に加えて、クラウド環境も含む）とし、製造環境等の制御システム（OTシステム）、発注元等に提供する製品等は対象外として整理されています。

2-3. 現時点で公開されている要求事項、評価基準

各段階（★3～5）における要求事項及び評価基準について、★3と★4は2025年下期の確定・公表を目指して実証事業に進む予定となっており、「要求事項・評価基準案」が公表されています。

★5は開始予定時期を含めて引き続き検討として現時点で内容は公表されていませんが、ISMS適合性評価制度との整合に配慮しつつ、システムへの具体的な対策実装についてはこれまでに実績のある自工会/部工会サイバーセキュリティガイドライン等から対策を選定することを想定していることが示されています。

中間取りまとめで公表された★3と★4の要求事項・評価基準案によると、★3は基礎的なシステム防御策と体制整備を中心に構成した25項目、★4はガバナンスから防御・検知・対応までの包括的な対策で構成した45項目（公開資料から★3の要件を含めて59項目となる想定）とし、★4は★3を取得していることを前提としないことから、第三者評価とすることが予定されているより高い段階の★4からの取得を目指すことが可能と考えられます。

3. 評価制度開始に向けた今後の予定

2026年度下期からの評価制度開始に向けた今後のスケジュールとして、★3と★4の実証事業を開始し、2025年度下期の制度構築方針（案）の公表が予定されています。並行して、★5については、要求事項や評価スキームの検討が行われます。

4. 認証取得に向けた準備

本評価制度は、第三者の評価機関による認証（★4、★5）が求められる想定ですが、同様の第三者評価が求められるISMS適合性認証制度や欧州の自動車業界のサプライチェーンを対象とした情報セキュリティの審査基準であるTISAX認証では、プレアセスメントを行い、識別した課題の改善を行った上で本審査に進むことが一般的な流れです。

本評価制度は、2026年度下期からの運用開始が想定されており、最速で取得するためには、制度構築方針が公表される25年度下期からの約1年間で準備を進める必要があります。

現時点では、具体的な要件等は未確定であるため、今後の検討状況を確認して、必要な対策をとっていくことが求められます。

【共同執筆者】

EY新日本有限責任監査法人　Technology Risk事業部　
マネージャー　柴田 慎一郎