企業の信頼を可視化するセキュリティ格付け制度
『サプライチェーン強化に向けたセキュリティ対策評価制度』~2026年度開始に向けた実務ロードマップ~
2026年2月17日
DX(デジタルトランスフォーメーション)が加速し、企業間のデータ連携が進む一方で、サプライチェーンの「弱点」を狙ったサイバー攻撃は後を絶ちません。もはや一社単独での防御には限界があり、ビジネスパートナーを含めた「サプライチェーン全体」での対策が急務となっています。
こうした中、2025年4月、経済産業省より「サプライチェーン強化に向けたセキュリティ対策評価制度」構築に向けた中間取りまとめが公表されました。 これまで「相手のセキュリティ対策が見えない」「どこまで対策すればいいか分からない」という悩みがありましたが、この新制度はそれらを解決する「共通のものさし」となるものです。
今回は、2026年度の本格稼働が見込まれるこの新制度について、公開された詳細資料に基づき、その仕組みと自社の立場(発注側・受注側・支援側)に応じた対応策を解説します。
1. 信頼の「ものさし」となる新評価制度とは?
まず、この制度の背景にあるのは「サプライチェーンリスク」の増大です。近年、大企業が堅牢な守りを固めても、セキュリティ対策が手薄な取引先(中小企業や海外拠点)を経由して侵入される事例や、ランサムウェアによる供給停止が頻発しています。
しかし、従来は取引先のセキュリティ対策状況を客観的に判断する基準が曖昧で、発注側・受注側双方にとって確認作業が大きな負担となっていました。
そこで経済産業省が打ち出したのが、企業のセキュリティ対策状況を★(星)の数で可視化するというアプローチです。
- 制度の狙い
サプライチェーン全体でのセキュリティ対策水準の向上 - 仕組み
発注企業が取引上のリスクに応じて、受注企業に適切な段階(★)を提示・確認する
2026年度の制度開始を目指し、実証事業や制度運営基盤の整備、利用促進策の検討などを進めていくことが予定されています。この制度が普及すれば、この「格付け」が企業の信用力を測る重要な指標となり、取引条件の一つとして組み込まれる未来が予想されます。
2. 【基礎知識】3段階の格付け(★3~★5)と評価基準
この制度では、企業の対策状況を以下の3段階※で評価・認定します。 それぞれの区分が示す到達レベルと、求められる評価方法は以下の通りです。
※既存の「SECURITY ACTION」の★1・★2の上位に位置づけられています
| 区分 | レベルの目安 (期待される姿) |
評価方法 | 項目数 |
|---|---|---|---|
| ★3 (Basic) | 「最低限の守り」 広く認知された脆弱性を悪用する一般的なサイバー攻撃への対処が可能。 基礎的な組織的対策とシステム防御策を実施。 |
自己評価 (専門家の助言プロセス等を想定) |
25 項目 |
| ★4 (Standard) | 「標準的な守り」 組織ガバナンス・取引先管理、検知、インシデント対応など包括的な対策を実施。 供給停止や情報漏えいが大きな影響を与える企業向け。 |
第三者評価(原則) | 44 項目 |
| ★5 | 「高度な守り(到達点)」 国際規格に基づくリスクベースの管理と、最新のベストプラクティスを実践。未知の攻撃も含めた高度な脅威に対応。 |
第三者評価 | 未定 (今後検討) |
- ★3 (Basic)
全てのサプライチェーン企業が最低限実装すべきラインです。自己評価ですが、評価の実効性を高めるため、社内や外部の専門家による助言を得るプロセスが想定されています。 - ★4 (Standard)
より高い信頼性が求められる企業向けです。ここでは「第三者評価」が原則となり、客観的なお墨付きを得ることで信頼性が飛躍的に向上します。
3. Basic(★3相当)で求められる25項目リスト
特に多くの中小企業・サプライヤーにとって当面の目標となるのが、この「★3 (Basic)」の取得です。
公表された「要求事項案」によると、★3では以下の25項目の対策が求められます。これらは、技術的な防御だけでなく、組織としての体制やルール作りも重視されている点が特徴です。
| 大分類 | 中分類 | No. | 要求事項の内容 |
|---|---|---|---|
| ガバナンスの整備 | 役割/責任/権限 | 1 | セキュリティ担当部署・従業員を決定し、責任と権限を割り当てる |
| 2 | 秘密保持契約又は守秘義務契約を規定し、遵守させる | ||
| ポリシー | 3 | 自社のセキュリティ対応方針(ポリシー)を策定し、周知する | |
| 監督 | 4 | セキュリティ対策状況を定期的に棚卸し、見直しを行う | |
| 取引先管理 | サイバーセキュリティサプライチェーンリスクマネジメント | 5 | 取引先と自社とのビジネス又はシステム上の関係を把握する |
| 6 | 他社との間で、機密情報の取扱い方法を明確にする | ||
| リスクの特定 | 資産管理 | 7 | ハードウェア、OS、ソフトウェアの情報に関する一覧を作成する |
| 8 | ネットワークの情報に関する一覧を作成する | ||
| 9 | 取引先等とのネットワーク接続を管理する | ||
| 10 | 機密区分に応じた情報の管理ルールを定め、それに基づく管理を行う | ||
| 攻撃等の防御 | アイデンティティ管理とアクセス制御 | 11 | ユーザIDの発行・変更・削除の手続きを定める |
| 12 | 管理者IDの発行・変更・削除の手続きを定める | ||
| 13 | システムや情報の重要度に応じて認証の強度や実装方法を決定する | ||
| 14 | 社内システムを構成する端末にアカウントロック制御を実装する | ||
| 15 | パスワード設定に関するルールを定め、周知する | ||
| 16 | パスワードの管理に関するルールを定め、周知する | ||
| 17 | 人の異動に伴うアクセス権の管理ルールを定めて、運用する | ||
| 意識向上及びトレーニング | 18 | セキュリティインシデント発生時の対応に関する教育・訓練を行う | |
| データセキュリティ | 19 | 適切なバックアップを行う | |
| プラットフォームセキュリティ | 20 | ハードウェア・ソフトウェア等の安全な構成を確立し、維持する | |
| プラットフォームセキュリティ | 21 | セキュリティパッチやアップデートの適用手続等を策定し、実行する | |
| プラットフォームセキュリティ | 22 | システムをマルウェア感染から保護する | |
| 技術インフラのレジリエンス | 23 | 内外のネットワークを適切に分離し、境界部分を防護する | |
| 攻撃等の検知 | 継続的モニタリング | 24 | ネットワーク上の適切な場所で接続やデータ転送を監視する |
| インシデント対応 | インシデント マネジメント |
25 | あらかじめ定めた手順に沿ってセキュリティインシデントに対応する |
注:経済産業省公表の「参考資料1」に基づき整理。No.25「インシデントへの対応」までが★3の必須項目案とされています。
これらは、いわば企業の「基礎体力」です。まずはこの25項目を確実にクリアし、自己評価できる状態にすることが、サプライチェーンに参加するための「入場券」となると認識すべきでしょう。
4. 【役割別】いま、注視すべきポイントとメリット
この制度は、サプライチェーンに関わるすべてのプレイヤーに影響を与えます。
発注企業(大手・中堅)向け
「見えないリスク」を可視化し、調達基準を変える
- 自社の調達ガイドラインを見直し、リスクに応じて「スタンダードに該当する委託先には★4(※)」「一般の取引先には★3」といった基準を設ける検討を始める
- 取引先に対し、制度の周知と対策の実施を促す。
(※)★4(Standard)を求めるべき相手とは?
重要な機密情報の取扱いや、供給途絶・自社システムへの侵入リスクがある取引先(出典:中間取りまとめ P.19)
- 評価コストの削減
共通の「星」を参照することで、個別のアンケートや監査工数を大幅に削減できます。 - リスクの低減
客観的な基準で取引先を選定でき、サプライチェーン攻撃のリスクを構造的に下げることができます。
受注企業(中小・サプライヤー)向け
「選ばれる企業」へのパスポートを手に入れる
- まずは上記の★3(Basic)の25項目を確認し、自社の現状とのギャップを把握する。
- 将来的には★4(第三者評価)を目指し、規定の整備やログ管理などの準備を進める。
- 商機の拡大
★を取得していることが、大手企業との取引継続や新規開拓の条件になる可能性があります。 - 効率化
取引先ごとに異なるチェックシートへの回答負担が、この制度への準拠によって軽減されることが期待されます。
SIer・ベンダー向け
伴走支援という新たな価値を提供する
- 顧客に対し、制度の周知と取得支援(コンサルティング、製品導入)を提案する。
- 自社のソリューションが、どの要求項目(防御、検知、復旧など)をカバーできるかを整理する。
- ビジネスチャンス
認証取得支援や、特に★4で求められる高度な対策(監視、ログ分析など)への需要が急拡大します。
5. 制度開始に向けたロードマップ
2026年度の制度開始に向け、2025年度は重要な「準備期間」と位置付けられています。
- 2025年度
実証事業や評価基準の確定、制度立ち上げ準備が進められる予定です。(※公表資料では詳細な時期は明示されていませんが、上期に実証事業、下期に制度準 - 2026年度: 制度運用開始(想定)。取得企業の公表開始
今から自社のセキュリティ体制を見直し、★3の要件を満たす準備を始めておくことで、制度開始と同時にスムーズな認定取得が可能になります。
4. まとめ
今回解説した「セキュリティ対策評価制度」は、日本版の「セキュリティ格付け」とも呼べる画期的な取り組みです。
これまでは目に見えなかった企業のセキュリティ体力が、「星の数」として市場に提示されるようになります。それはつまり、「セキュリティ対策をしていない企業は、サプライチェーンから選ばれなくなる」リスクがある一方で、「対策を強みとしてアピールできる」大きなチャンスでもあります。
国際規格や政府のガイドラインは難解に見えますが、この「星」という羅針盤を持つことで、自社が今どこにいて、次にどこへ向かうべきかが明確になります。2026年度のスタートダッシュに向けて、今から準備を始めませんか?
Sanko IBでは、OT/ITセキュリティの現状分析から、新制度を見据えた対策支援まで、お客様の課題に合わせたソリューションをご提供しています。
セキュリティに関するご相談事項がございましたら、お気軽にSanko IBまでご連絡いただけたらと思います。
5. 参考文献・関連リンク
● 経済産業省:「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」
https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html
● IPA 独立行政法人 情報処理推進機構:SECURITY ACTION(セキュリティ対策自己宣言)
https://www.ipa.go.jp/security/security-action/
