経済産業省が検討するセキュリティ対策評価（格付け）制度の現状と展望

サプライチェーンを通じたセキュリティリスクの深刻化を受け、2024年、経済産業省は企業のセキュリティ対策を5段階で格付けする新たな制度を検討中であることを発表しました。この「サプライチェーン強化に向けたセキュリティ対策評価制度」の経緯、概要、検討状況を踏まえ、評価制度の施行を見据えた上で、企業が現時点で取るべき対策の考え方について解説します。

※本記事の内容は、経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ第2回（2024年9月）」に基づき作成しています。2025年2月には、本サブワーキンググループ第4回が開催され、制度の運用開始時期やセキュリティの要求事項など、より具体的な制度案が公表されました。ここで示されたポイントについては、記事の文末でご紹介していますので、本文とあわせてご覧ください。

目次

1. 評価制度検討の背景
2. 評価制度の概要
3. 検討状況
4. 今後の展望

評価制度検討の背景

近年、サイバーセキュリティ対策は企業にとって極めて重要な経営課題です。特に、サプライチェーンを狙った攻撃や、サプライチェーンに起因するセキュリティ被害は、事業継続にも影響を与えるリスク要因になっています。

サプライチェーン攻撃は、企業間のつながりを利用したサイバー攻撃です。攻撃者は、脆弱な取引先のセキュリティの隙間をついて攻撃を仕掛け、最終的には主要なターゲットである企業に被害を与えます。

サプライチェーン攻撃の被害は年々深刻化しており、情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2025」では、組織編で「サプライチェーンや委託先を狙った攻撃」が2位にランクインしており、企業における警戒が強まっています。

一方で、企業のセキュリティ対策は、業界や企業規模によって大きな差があり、外部からその状況を正確に把握することが難しいという課題があります。各企業がどの程度の対策を実施しているかを客観的に評価する基準が不足しており、これがサプライチェーン全体のセキュリティ強化を妨げる一因となっています。

このような背景から、経済産業省は企業のセキュリティ対策状況を可視化し、対策レベルが適正か判断するための指標として、「サプライチェーン強化に向けたセキュリティ対策評価制度」の名称で、サプライチェーンにおける企業のセキュリティ対策を評価する新しい制度を設けることの検討を進めています。

評価制度の概要

本制度は、業種を横断して企業のセキュリティ対策レベルを評価する制度で、企業間の比較やサプライチェーン全体の強化を促すことが目的です。評価として企業のセキュリティ対策を5段階に分けて格付けする仕組みが検討されており、対象となる企業や求められる要件は以下のように整理されています。また、評価スキームは既存のガイドラインや認証制度など活用可能なスキームを検討すると前置きした上で、レベル1～3は自己宣言型、レベル4～5は外部組織による第三者認証型とする案も議論されている状況です。

（クリックして拡大）

※出典：サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ第2回（経済産業省、2024年9月）「サプライチェーン対策評価制度の基本構想(案)について」

検討状況

主な検討レベル

本制度においては5段階のレベルでの評価が想定されていますが、レベル1～2は既存のセキュリティアクション宣言制度を流用することを想定しており、本検討の中ではレベル3～5の3段階が言及され、対象や対策項目が検討されている状況です。

各ガイドラインとの関係性

本制度は、既存のサイバーセキュリティガイドラインや認証制度を参考にしつつ、企業の実態に合った評価基準を提供する方向で検討が進められています。例えば、自動車産業に向けた「自工会/部工会・サイバーセキュリティガイドライン」などが具体例として挙げられています。

しかし、既存のガイドラインでは、対策レベルが企業の実態と乖離している部分があり、特に中小企業にとっては対策レベルの基準が高すぎる点が各企業の課題となっています。
そのため、本制度では、企業規模に応じた柔軟な基準を設け、レベル3に該当する企業向けの評価基準を新たに策定する方向で検討が進められています。

※参考：「自工会/部工会・サイバーセキュリティガイドライン 2.2版（2024年）」

（クリックして拡大）

※出典：サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ第1回（経済産業省、2024年7月）「サプライチェーン強化に向けたセキュリティ対策評価制度の構築について（IPA）」

レベル別の対象事業者・適用範囲

各レベルの対象事業者や適用範囲についても議論され、例えばレベル3の対象事業者としては「原則としてサプライチェーンを形成するすべての者」と整理されています。
その判断はビジネス観点を主体としつつも、取引先から発注者内部ネットワークへのアクセスが可能な場合はシステム観点も含めるといった方向性が示されています。

また、対策の観点としては「組織的対策」と「システム的対策」で整理されており、例えばレベル4では、発注者内部ネットワークの接続点も含む想定など、各レベルの適用範囲も整理されていますが、現状では抽象的な表現となっており、具体的な実装範囲は今後検討されていくものと推察されます。

（クリックして拡大）

※出典：サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ第2回（経済産業省、2024年9月）「サプライチェーン対策評価制度の基本構想(案)について」

対策の考え方

本制度では、セキュリティ対策の基本的な考え方として、NISTサイバーセキュリティフレームワーク2.0の6分類に、サプライチェーン対策である「取引先管理」を加えた7分類で整理されています。

（クリックして拡大）

※出典：サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ第2回（経済産業省、2024年9月）「サプライチェーン対策評価制度の基本構想(案)について」

今後の展望

「サプライチェーン強化に向けたセキュリティ対策評価制度」は、企業間でのセキュリティ対策レベルの「可視化」を実現し、サプライチェーン全体のセキュリティ強化に貢献することが期待されています。従来もガイドライン等の整備はされてきましたが、今後はこの評価制度が政府の調達要件として位置付けられる可能性もあり、更には組織や企業間の取引において実効性を持つ基準となる可能性も考えられます。

現時点で企業が対策を行うにあたっては、こうした評価制度の検討状況を把握しつつ、求められる対策の考え方を理解することが重要です。そして、自社に求められるレベルを想定しつつ、リスクを可視化した上で、優先度を設定し、段階的に対策を強化していくことが求められます。

IIJでは、セキュリティレベルを独自に4段階に分類しており、自社のセキュリティレベルを把握するための資料を提供しています。まずは本資料で、現状における大枠の対策レベルを確認されてみるのも良いでしょう。

（クリックして拡大）

更に、現状のセキュリティ対策の「鮮度」をチェックするワークショップを実施しており、リスクの洗い出しや対策強化の優先度設定などセキュリティ強化を無料でサポートしています。
「どこから手を付けていいか分からない」などのお悩みがありましたら、まずはお気軽に事前説明に申し込みの上、可視化や対策強化にご活用ください。

（2025年3月13日更新）2025年2月に開催された「サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ第4回」では、制度の運用開始時期やセキュリティの要求事項など、より具体的な制度案が公表されました。主なポイントは以下の2点です。

• 制度開始までの具体的なスケジュールが示されました。運用開始は2026年10月からで（想定時期、対象は★3、★4）、取得企業の公表も検討されています（※1）。
  （※1）「今後の検討の進め方及びスケジュール」（経済産業省、2025年2月）
• セキュリティ要求事項（案）・評価基準（案）の詳細が示されました。記事内で紹介した「対策の基本的な考え方」がほぼ踏襲され、「ガバナンスの整備」「取引先管理」「リスクの特定」「攻撃等の防御」「攻撃等の検知」「インシデントへの対応」「インシデントからの復旧」の7つの観点から、要求と評価基準の具体案が下図の通り示されました。

（クリックして拡大）

出典：「★3・★4要求事項案・評価基準案一覧」（経済産業省、2025年2月）

このほか、取引先への対策要請を想定した「独占禁止法等との明確な整理」、「民民の契約において本制度の要求基準や★取得の推奨等を盛り込む際のひな型の作成、提供」など、サプライチェーン全体の強靭化に向けた施策案が示されました（※2）。政府との直接取引のある組織や重要インフラなど一部の組織だけでなく、サプライヤーも含めて規模、業種を問わず制度の影響を受けることが予想されます。評価制度の開始はこれからですが、組織においては、現状のセキュリティ対策状況を整理し、やるべき対策の確認を進めていくことが大切です。

（※2）「制度普及に向けた考え方・取組」（経済産業省、2025年2月）