サプライチェーン強化に向けたセキュリティ対策評価制度とは?いつから始まるのか、準備すべき対策を解説
サプライチェーン強化に向けたセキュリティ対策評価制度とは
制度の概要と目的
「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」とは、経済産業省が主導して策定を進めている、企業のセキュリティ対策を段階的に評価し、サプライチェーン全体の安全性を高めることを目的とした制度です。企業ごとのセキュリティ対策を「★3」から「★5」までの段階で評価・可視化することで、発注企業は取引先に求める対策水準を提示しやすくなり、受注企業は自社の対策状況を客観的に示すことができるようになります
なぜ今、サプライチェーンのセキュリティ強化が必要なのか
近年、セキュリティ対策が強固な大企業を直接狙うのではなく、セキュリティ対策が比較的手薄な中小企業や関連会社を踏み台にして侵入する「サプライチェーン攻撃」が急増しています。サプライチェーン上のどこか一社でも対策が不十分だと、そこから情報漏洩やシステム停止などの深刻な被害が連鎖的に拡大するリスクがあります。そのため、個別の企業の努力だけでなく、サプライチェーン全体で共通の基準を用いてセキュリティ意識と対策水準を底上げすることが急務となっているのです。
セキュリティ対策評価制度いつから始まる?今後のスケジュール
「サプライチェーン強化に向けたセキュリティ対策評価制度構築」に向けた動向
本制度の構築に向けて、経済産業省などは2025年4月に「中間取りまとめ※1」を公表し、同年12月には「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)※2」を公表しました。これにより、評価区分ごとの具体的な要求事項や、外部監査の仕組みなどの全容が明らかになりつつあります。
2026年度末の本格運用開始までのロードマップ
公開されているスケジュールによると、本制度は令和8年度(2026年度)末頃からの本格的な運用開始を目指しています。まずは★3および★4の運用から開始される予定です。企業は制度開始に慌てることがないよう、早めの準備を進めることが重要です。
「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」※3
を元にゼロボード作成
評価の基準となる3つの段階(★3・★4・★5)と評価スキーム
本制度では、企業の対策状況を★3・★4・★5の3段階で評価します。なお、★1と★2は、IPAが運営する既存の「SECURITY ACTION」の自己宣言(一つ星・二つ星)に該当します。
★3(Basic):すべての企業が最低限実装すべき対策
一般的なサイバー脅威に対処できる水準で、すべてのサプライチェーン企業が最低限実装すべき基礎的なシステム防御策と体制整備を指します。評価スキームは、取得希望組織による自己評価に、セキュリティ専門家の確認と助言を組み合わせた「専門家確認付き自己評価」が採用されます。
★4(Standard):標準的に目指すべきセキュリティ対策
サプライチェーン上で重要な役割を担う企業が標準的に目指すべき対策です。初期侵入の防御だけでなく、組織ガバナンスや取引先管理の強化、インシデント対応など、より包括的な対策が求められます。自己評価に加えて、認定された評価機関による「第三者評価」が必要となります。
★5:到達点として目指すべき高度な対策
未知の攻撃も含めた高度なサイバー攻撃への対応を想定し、現時点でのベストプラクティスに基づく対策を実行する水準です。★4と同様に第三者評価が予定されていますが、対策基準や評価スキームの詳細は令和8年度(2026年度)以降に具体化される予定です。
制度開始に向けて企業が今すぐ準備すべきこと
自社の現状把握と目指すべきレベルの設定
まずは公開されている制度構築方針(案)を理解し、自社が★3と★4のどちらを目指すべきかを明確にすることが重要です。目標が決まったら、現在社内で実施しているセキュリティ対策や保有資産の棚卸しを行い、制度の評価基準と自社の現状を照らし合わせてギャップ分析を実施し、不足部分を洗い出します。
取引先・委託先のセキュリティ対策状況の把握
★4の要求事項では「取引先管理」が重点項目として加わります。重要な取引先の対策状況の把握や、機密情報共有先の把握など、サプライチェーンを構成する取引先や委託先の管理体制を強化することが強く求められます。発注側としても、取引先の状況を正確に把握・管理することが不可欠です。
煩雑なサプライヤー管理を効率化するには
取引先に対するセキュリティ調査業務の課題
発注企業が取引先のセキュリティ対策状況を把握するためには、セキュリティチェックシートなどを用いた調査が必要になります。しかし実務においては、取引先ごとに異なるフォーマットで調査を実施しているケースが多く、受注企業(サプライヤー)側は複数の質問票への対応に大きな負担を感じやすい状況にあります。
また発注企業(バイヤー)側においても、回収した回答内容を横断的に比較・評価することが難しく、回収状況の管理や集計作業にも多くの工数がかかるといった課題があります。
アンケート送付・回答効率化プラットフォーム「Dataseed SAQ」
このような取引先への調査業務の負担を大幅に軽減できるのが、アンケート送付・回答効率化プラットフォーム「Dataseed SAQ」です。これは、取引先への自己評価アンケート(Self-Assessment Questionnaire, SAQ)について、バイヤー側(送付・回収・評価)とサプライヤー側(回答)双方の負荷を低減し、実効性の高いSAQプロセスを実現するプラットフォームです。
「Dataseed SAQ」ESGや人権領域とあわせてセキュリティも一元的に把握できるよう、サイバーセキュリティに関する調査項目の追加にも対応しています。
経済産業省が公表する「サイバーセキュリティ経営ガイドライン Ver 3.0」(※4)をベースに、お客様の要件に応じて設問をカスタマイズできるため、専門知識がなくても導入後すぐにサプライヤーへのセキュリティ調査を開始することが可能です。
サプライチェーン強化に向けたセキュリティ対策評価制度の開始を見据え、取引先管理の効率化をお考えの企業様は、ぜひ「Dataseed SAQ」の導入をご検討ください。
参考
※1)経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」
https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html※2)経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」
https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html※3)経済産業省「 サプライチェーン強化に向けたセキュリティ対策評価制度」https://www.meti.go.jp/press/2025/12/20251226001/20251226001-b.pdf
※4)経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
関連記事
