「セキュリティ対策評価制度」中間とりまとめの概要とセキュリティ実務への影響

1. 「セキュリティ対策評価制度」構築の背景

1-1 現状の課題と制度の趣旨

近年、サプライチェーン上の脆弱性を標的とするサイバー攻撃が深刻化しています。「サプライチェーンや委託先を狙った攻撃」は、独立行政法人情報処理推進機構（IPA）の公表する情報セキュリティ10大脅威 ² においても7年連続でランク入りしています（2025では2位にランクイン）。

こうした状況から、サプライチェーン全体のセキュリティ水準の向上を図ることは喫緊となっています。一方で、2社間の取引契約等において、発注企業側と受注企業側のそれぞれで、以下のような課題も存在します。

発注企業側の課題	受注企業側の課題
サプライチェーンが複雑であるため、サプライチェーンを構成する受注企業が講じているセキュリティ対策を網羅的に把握することができない	どのようなセキュリティ対策をどの程度まで実施すべきかについての明確な基準が存在しない 発注企業から求められるセキュリティ対策の水準が、受注企業からしてみると過度に高度であるなどして、発注企業の要求に対応できない 複数の発注企業から水準や内容の異なるセキュリティ対策の実施を要求され、全体としてどのようなセキュリティ対策を講じておくべきかが判断できない

「サプライチェーン強化に向けたセキュリティ対策評価制度」（以下、「本制度」または「セキュリティ対策評価制度」といいます）は、これらの課題への対応策となるものです。

1-2 「中間とりまとめ」とは

経済産業省が設置する産業サイバーセキュリティ研究会の、サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループでは、本制度の目的や位置付け、要求項目・評価基準の内容、制度の普及のために必要な施策等について検討を重ね、2024年4月14日、その概要を公表しました（以下「中間とりまとめ」といいます）。

同ワーキンググループによる検討は継続中であり、今後の動向にも注視が必要です。

2.　「セキュリティ対策評価制度」の概要

2-1 制度の枠組み

本制度は、以下の2点を制度骨子とします。

基本的には、発注企業のほうから、受注企業に対して、その受注企業に適切な段階（★）を提示して、対応するセキュリティ対策の実装を促すこと、および実施状況を確認することが想定されています ³。

本制度を通じて、以下の効果が期待されます。

発注企業への効果	取引先に求めるセキュリティ対策の内容や水準の決定が容易になる 取引先におけるセキュリティ対策の実施状況の把握が容易になる ⇒ 取引先において適切なセキュリティ対策が実装されることにより、サプライチェーンに起因するセキュリティリスクを軽減できる
受注企業への効果	自社が実施すべきセキュリティ対策の内容や水準が明確になる 発注企業等の外部に対して、自社が講じているセキュリティ対策について説明しやすくなる セキュリティ対策を講じるうえで必要な費用や効果が可視化される 本制度を通じてセキュリティサービスが標準化されていくことにより、中長期的に選択肢の拡大やコストの低減が期待できる
社会全体での効果	サプライチェーン全体での底上げを通じて、経済・社会全体でのサイバーレジリエンスの強化を期待できる サイバー攻撃に対して適切に備えている企業等に対して、適切な評価を行うことが可能となる 中長期的にセキュリティ製品やサービスの市場の拡大や競争力の向上が図られる

2-2 対象とするリスクの範囲

本制度は、サプライチェーンを構成する企業におけるIT基盤（オンプレミス・クラウド）についてのセキュリティ対策（組織のガバナンスや取引先管理、自社IT基盤への検知・防御等）を対象とするものです。具体的には、以下の3つのリスクを念頭に置いています ⁴。

本来であれば、各企業がそれぞれにリスクを特定したうえで、必要なセキュリティ対策を個別に検討・実施することが望ましい姿といえます。しかしながら、とりわけサプライチェーンを構成する中小企業においては、そのような対応を行うリソースには限りがあります。

そのため本制度では、上記のような包括的なリスク分析に基づき、共通して求められる対策を示すことが意図されています。したがって、将来的には、自社のリスク分析に基づいて、セキュリティ対策のさらなる強化を図ることが望ましいと考えられています ⁵。

なお、上述のとおり、本制度は、サプライチェーンを構成する企業等のIT基盤（オンプレミス・クラウド）におけるセキュリティ対策を評価対象としています。そのため、IT基盤に該当しない、製造環境等の制御（OT）システムや発注元等に提供される製品等については、制度の対象外です ⁶。また、ソフトウェア開発やIoT機器のセキュリティ確保等についても、目的や求められる対策の内容等が異なることから、本制度の対象外です ⁷。

2-3 既存制度との関係

2025年3月に、ソフトウェア製品やクラウドサービス等のサプライチェーンに関して、「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」（以下、「サイバーインフラガイドライン（案）」といいます）が公表されています ⁸。そのため、以下のようなITサービスのサプライチェーンに関係する事業者は、本制度とサイバーインフラガイドライン（案）の双方の対象範囲に含まれ得ます ⁹。

2-4 制度の整備に向けた道筋とスケジュール

★3・★4については、2025年上期（4月～9月）に実証事業を通じた制度案の検討が行われたうえで、2025年下期（2025年10月～2026年3月）にかけて、要求事項・評価基準・評価スキームの確定、制度構築方針の公表、パブリックコメント手続等が行われた後、2026年下期（10月～）を目途に制度の運用が開始される予定です。

また、★5については、2025年度下期以降に評価基準やスキーム、運用開始予定時期等が検討される予定です ¹⁰。

なお、今回の中間とりまとめでは、以下のような点については明らかになっていません。これらについては、今後実証事業等を通じて検討が進められると推測されます。

3. 3段階の評価区分（★3、★4、★5）

3-1 ★3、★4、★5の評価水準

本制度で想定されているセキュリティ対策の評価水準は、想定される脅威や実装すべき対策の水準に応じて「★3（Basic）」、「★4（Standard）」、「★5」の3段階とされる予定です。「★1」と「★2」については、先行して施行されている中小企業向けの情報セキュリティ対策自己宣言制度「SECURITY ACTION」¹¹ によってカバーされているため、「★3」からスタートすることになっています。

各段階が想定する水準の概要は、以下のとおりです。

段階	想定される 脅威・リスク	基本的な考え方（求める対策）	脅威に対する達成水準のイメージ
★3	広く知られた脆弱性を突く一般的なサイバー攻撃	すべてのサプライチェーン企業が最低限実装すべきセキュリティ対策 （基礎的な組織的対策とシステム防御策）	組織内の役割と責任が定義されている 自社IT基盤への初期侵入、侵害拡大等への対策が講じられている インシデント発生時に、取引先を含む社内外関係各所への報告・共有に必要な最低限の手順が定義され、実施されている
★4	ビジネス継続や機密情報管理に影響を及ぼす攻撃	サプライチェーン企業等が標準的に目指すべきセキュリティ対策 （ガバナンス・取引先管理、システム防御・検知、インシデント対応等の包括的な対策）	セキュリティ対策が組織的な仕組みに基づいて実施され、継続的に改善している 取引先のシステムやデータを含む内外への被害拡大や攻撃者による目的遂行のリスクを低減する対策が講じられている 自社の位置づけに適合したサプライチェーン強靭化策（事業継続に向けた取組みや取引先の対策状況の把握等）が講じられている
★5	未知の攻撃を含めた、より高度な手口のサイバー攻撃	サプライチェーン企業等が到達点として目指すべき対策 （自組織に必要な改善プロセスの整備。システム面では、現時点でのベストプラクティス）	国際規格等に基づくマネジメントシステムが確立されている ベストプラクティスに基づくサイバーレジリエンス確保策（インシデントの迅速な検知・対応等）が講じられている 自社サプライチェーン全体のセキュリティ水準向上に資する対策（取引先等への指導や共同での訓練の実施等）が講じられている

これらの3段階（★）は、取得の順番が決まっているわけではありません。そのため、★3を取得することなく最初から★4を取得することも可能とされています ¹²。

発注企業として、取引先に対して★3を割り当てるか★4を割り当てるかは、2-2で述べた3つのリスクに照らして判断することが想定されています。具体的な例として、中間とりまとめでは、以下のいずれかを満たす場合には、★4の段階を割り当てることが想定されています ¹³。

3-2 評価区分ごとに想定されるセキュリティ対策の概要

中間とりまとめとともに公表された「【参考資料】★3・★4要求事項案・評価基準案」¹⁴ では、★3・★4レベルの要求事項や評価基準の案が示されています。

ガバナンスの整備、リスクの特定、インシデントへの対応、取引先管理、攻撃等の検知・防御といった観点から、★3については合計25個、★4については合計44個の要求事項があげられています。「自工会／部工会・サイバーセキュリティガイドライン」（以下、「自工会・部工会ガイドライン」といいます）¹⁵ や「金融分野におけるサイバーセキュリティに関するガイドライン」 ¹⁶ 等の既存の業界別ガイドラインとの対応関係も示されています。

現時点で示されている要求事項の概要は以下に列挙するとおりです。

なお、★５の要求事項や評価基準の案については、ISMS適合性評価制度との整合性にも配慮しつつ、すでに実績のあるガイドライン（例：自工会・部工会ガイドライン（Lv3））等から具体的な対策を選定することが想定されています。今後、2025年度以降に具体的なあり方等が検討される予定です ¹⁷。

3-3 評価スキームと認証の更新手続

セキュリティ対策の評価は、★3については社内外の「資格者」¹⁸ の関与を伴う企業の自己評価によって、★4については外部の評価機関による第三者評価によって行われる予定です ¹⁹。もっとも、評価スキームの詳細については、今後の実証事業等も踏まえながら引き続き検討が行われる予定です ²⁰。

また、★5の評価スキームについては、2025年度以降に検討が行われる予定です ²¹。

現時点で想定されている評価スキームの暫定案は以下のとおりとなっています ²²。

	★3	★4
評価実施主体	自己評価 （社内外の資格者による合否判定が想定されている）	評価機関による第三者評価
有効期間	1年	3年
更新手続	要求事項の遵守状況について事業者自らが点検	1年ごとに自己評価を実施 ⇒評価機関へ提出 3年ごと更新の際は第三者評価

4. セキュリティ担当者の実務への影響

本制度により、受注企業と発注企業の間で、講じるべきセキュリティ対策の内容や水準について共通理解が得られることが期待できます。これにより、実務面では以下のようなメリットが期待されます。

とりわけ、上記①が受注企業にもたらす恩恵は大きいと思われます。受注企業においては、取引先から求められるセキュリティに関するヒアリング等への対応業務に相当の工数が割かれているのが現状です。セキュリティチェックのための工数が削減されれば、自社のセキュリティ対策状況の棚卸しや改善といった本来行うべき対応のための時間を確保することも可能となり、サプライチェーン全体のセキュリティの向上にも資すると考えられます。

5. セキュリティ担当者に求められる対応

現在想定されている本制度の運用開始時期は、上述のとおり★3と★4について2026年下期（2026年10月～2027年3月）が予定されています。それまでには、以下のような対応を行っておくことが考えられます。

発注企業側の対応	受注企業側の対応
本制度への対応を求める取引先の特定 取引先に求める評価段階の決定および連絡	制度導入に伴う経営・事業部門との連携（予算獲得、社内連携など） 目標とする評価段階の見極めと現状とのFit & Gap分析 評価基準や要求事項への具体的な対応 評価スキーム（自己評価、第三者評価）への準備

5-1 発注企業側の対応のポイント

サプライチェーンを構成する企業に中小企業が多いことを考えると、基本的には発注企業側が主導的な立場となって、本制度の周知や講ずべきセキュリティ対策の内容の解説等を受注企業に対して行うことが考えられます。

もっとも、発注企業が受注企業に対して要求事項の実施や★取得の推奨等を求める場面では、独占禁止法上の優越的地位の濫用や下請法違反に注意が必要です。たとえば、発注企業が受注企業に対してセキュリティ体制の構築を要請し、受注企業からそれに伴うコスト上昇等を理由とする取引価格の引上げを求められたにもかかわらず、それに応じない理由を書面、電子メール等で回答することなく従来どおりに取引価格を据え置くことは、独占禁止法において規制されている優越的地位の濫用に当たり得るとされているためです ²³。

中間とりまとめによれば、以上のような点に関しては、今後より具体的な法的整理や契約書雛形が示される予定ですので、それも踏まえた対応が求められるでしょう ²⁴。

5-2 受注企業側の対応のポイント

受注企業の立場では、まず自社のセキュリティ対策の棚卸し（現状把握）を行い、中間とりまとめで示された要求事項とのギャップを洗い出しておくことが有益です。

近年は、取引の継続や新規受注にあたり、一定のセキュリティ水準を証明するよう求められるケースが増えています。★3は、サプライチェーンに関わるすべての企業が最低限備えるべき水準と位置付けられる予定ですので、本制度の運用開始前から対応しておくことにより、「SECURITY ACTION」の★1・★2とあわせて、取引先からの信頼度の向上にもつながると考えられます。

---