ガイドライン対応サポートアカデミー

専門家の目で強化するサイバーセキュリティ
企業・団体向けのサイバーセキュリティ対策支援コンサルティングパッケージ。チェックシートと専門家の助言で自己点検と課題発見を行い、対策の精度を向上させます。

詳細を確認する

近年のサプライチェーン攻撃の深刻化を受け、経済産業省は「サプライチェーン対策評価制度」を導入する方針を示しています。本制度では、企業のセキュリティ対策を段階別（★3～★5）で評価し、その成熟度を取引先に可視化することを目的としています。

サプライチェーン対策評価制度の導入により、以下のメリットが期待できます。

本記事では、企業が「サプライチェーン全体のセキュリティレベルを底上げする」ための指針となるサプライチェーン対策評価制度について、その概要や導入背景、現時点で知っておくべきポイントを詳しく解説します。

サプライチェーン対策評価制度とは？

サプライチェーン対策評価制度は、企業のセキュリティ対策の実施状況を評価し、その成熟度を可視化する新たな仕組みです。​
この制度は、2024年4月に開催された第8回産業サイバーセキュリティ研究会で提案され、2025年2月に公表された最新の検討会の情報によると、2026年10月ごろの施行が予定されています。

この制度が普及することで、企業が求められるセキュリティ対策の水準が明確になり、統一基準に基づく対策の実施が可能になります。その結果、重複した対応の削減や効率的なセキュリティ対策の導入が進み、コスト削減にもつながると期待されています。

​また、取引先にとっては評価基準が統一されることで、取引相手のセキュリティ対策水準を客観的に把握しやすくなり、適切なリスク管理が可能になるというメリットがあります。

さらに、サイバー攻撃への適切な対策を実施している企業を正当に評価する基準として本制度が機能し、サプライチェーン全体のセキュリティ向上や、経済・社会全体のサイバーレジリエンス※強化につながることが期待されています。

※サイバーレジリエンス…サイバー攻撃やシステム障害などの脅威に対して、耐性を持ち、迅速に対応・復旧できる能力のこと

サプライチェーン対策評価制度が検討された背景

本制度が導入された背景には、​サプライチェーン攻撃の増加・手法の高度化が挙げられます。

サプライチェーン攻撃とは、セキュリティが堅牢な標的に直接侵入するのではなく、比較的セキュリティ対策が手薄な関連企業や委託先を経由して攻撃を行う手法を指します。​

実際、情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2025」においても、サプライチェーン攻撃は第2位にランクインしており、その脅威度の高さが浮き彫りになっています。

統一された評価基準が求められる理由

これまで、経済産業省やIPAは、業界ごとのガイドライン策定を進め、企業のセキュリティ対策強化を支援してきました。しかし、政府機関や重要インフラ分野を除き、業種を超えた共通の評価基準は存在せず、企業ごとに異なるセキュリティ要件が求められる状況が続いていました。

その結果、複数の取引先を持つ企業は、各取引先が求める異なるセキュリティ基準に対応する必要があり、評価プロセスの煩雑化や管理負担の増大が課題となっていました。特に、中小企業においては、適切なセキュリティ対策を講じるためのリソースが限られ、結果としてサプライチェーン全体の脆弱性が温存される構造的な問題を抱えていました。

前述の通り、サプライチェーン攻撃では、セキュリティ対策が十分でない関連会社や取引先が狙われます。

このような状況を踏まえ、サプライチェーン全体のセキュリティレベルを可視化し、統一基準にて客観的に評価できる枠組みの必要性が高まったことから、サプライチェーンの安全性を体系的に向上させるための基盤となる「サプライチェーン対策評価制度」が創設されるに至りました。

ガイドライン対応サポートアカデミー

専門家の目で強化するサイバーセキュリティ
企業・団体向けのサイバーセキュリティ対策支援コンサルティングパッケージ。チェックシートと専門家の助言で自己点検と課題発見を行い、対策の精度を向上させます。

詳細を確認する

サプライチェーン対策評価制度の評価基準と詳細

サプライチェーン対策評価制度は、企業のセキュリティ対策の成熟度を5段階で可視化・評価し、サプライチェーン全体のリスク管理を強化することを目的とした枠組みです。本制度では、企業のセキュリティ対策の成熟度を以下のように評価します。

まず、★1～★3では、企業の自己評価で、セキュリティ対策の成熟度を判断します。このうち★1～★2に関しては、IPA主催の「SECURITY ACTION」で定められた目標に対し、企業が対策に取り組んでいる旨を、自己宣言することで達成されます。

一方、より高度なセキュリティレベルが求められる★4～★5では、第三者が対策状況を評価する「第三者認証型」が用いられます。

新設される★3～★5の評価基準について

サプライチェーン対策評価制度では、対策状況の実施有無を適切に評価する目的から、「三ツ星（★3）」「四つ星（★4）」「五つ星（★5）」の3段階の評価基準が新設される予定です。

★3～★5の指標は、基本的には「ビジネスの観点（データ保護、事業継続のいずれか又は双方）」から、発注側の企業が取引先を評価した場合の重要度に応じて、区分することが想定されています（ただし、場合によっては「システム観点」も考慮される）。

ビジネス的な観点で、特に重要な取引先であれば★5、一般的な取引先であれば★3、といったイメージです。

▼各段階（★3～★5）における構成要素の考え方

出典：経済産業省｜サプライチェーン対策評価制度の基本構想(案)について

各段階で求められるセキュリティ対策

●三ツ星（★3）: サプライチェーンを構成するすべての企業が、最低限実施すべきセキュリティ対策の水準。​

●四つ星（★4）: 産業界を代表・牽引する立場の企業、またはそのサプライチェーンにおいて重要な役割を担うサプライヤー企業が、標準的に目指すべきセキュリティ対策の水準。​

●五つ星（★5）: 産業界を代表・牽引する立場の企業、またはそのサプライチェーンにおいて特に重要な機能・役割を担うサプライヤー企業が、現時点で到達点として目指すべき高度なセキュリティ対策の水準。

対象事業者

本制度の評価対象は、主に2社間の契約における「受注者側（サプライヤー）」とされており、その評価は 「ビジネス観点」と「システム観点」 の2つの視点から行われます。

●ビジネス観点：「a.データ保護」と「b.事業継続」という2つの要素から、重要度を判断。

a.データ保護(取引先がアクセス可能な情報の重要度)
b. 事業継続（取引先による供給製品・サービスの重要度（代替可能性を含む））

●システム観点：取引先環境から、発注者側の「内部ネットワークへのアクセス手段の有無」で判断

出典：経済産業省｜サプライチェーン対策評価制度の基本構想(案)について

基本的には、ビジネス観点から取引先を評価することが想定されていますが、対策の脆弱な取引先環境からの不正侵入による被害拡大防止の観点から、発注者内部ネットワークへのアクセス可能な場合（システム観点）はビジネス観点での区分によらず、取引先に★4以上の対策を要請することが推奨されています。

例えば、ビジネス観点で★3相当と判断される企業であっても、取引先が発注者の内部ネットワークにアクセス可能な場合は、★4以上の対策要請が推奨されることになります。

対策の適用範囲

対策の適用範囲は、「組織的対策」と「システム的対策」の2つで構成されます。

出典：経済産業省｜サプライチェーン対策評価制度の基本構想(案)について

組織的対策は、★3と★4の2段階で評価されます。ビジネス観点（データ保護、事業継続）で重要度が高い案件は企業全体ではなく、特定の事業やプロジェクトにおける発生が想定されているためです。

システム的対策に関しては事業単位で、より高いレジリエンスが求められるシステムを対象に、★5を適用することが想定されています。システム的対策の範囲は、段階が上がるごとに広範となります。

対策の基本的な考え方

対策の基本的な考え方として、「NISTサイバーセキュリティフレームワーク2.0」の6分類に、サプライチェーン対策の視点として「取引先管理」を加えた、7分類を基本として検討が進められています。

本制度が「サプライチェーン全体のレジリエンス」を目的とすることから、「取引先管理」をより強調するため独立した分類として扱っています。

出典：経済産業省｜サプライチェーン対策評価制度の基本構想(案)について

★3は基礎的なシステム防御策を中心に構成され、★4は包括的な対策、★5はシステムに対するより高度な対策が想定されています。

サプライチェーン対策評価制度を導入するメリット

サプライチェーン対策評価制度を導入するメリットは以下の通りです。

サプライチェーン対策評価制度を導入することで、企業は自社のセキュリティ対策レベルを客観的に把握できます。対策の優先順位付けが容易になり、効率的で適切なセキュリティ強化が可能となります。

次に、評価制度に基づいたセキュリティ対策を実施することで、客観的な基準を満たしていることを対外的に示せるようになります。取引先や顧客からの信頼を得やすくなり、新規取引の獲得や既存の取引関係の維持・強化につながります。

また、サプライチェーン全体の安全性を確保するには、取引先のセキュリティ対策状況も重要です。評価制度の導入により取引先の対策状況を把握し、必要に応じて改善を求められるようになります。

サプライチェーン対策評価制度を導入することで、自社のセキュリティ強化だけでなく、取引先との信頼関係の構築やサプライチェーン全体の安全性向上を図ることができます。

今すぐ準備をはじめましょう！
現状把握には第三者の視点を取り入れるのがおすすめ

2025年2月に公表された最新の検討会の情報によると、2026年10月ごろに詳細発表と開始が予定されていますが、制度の詳細が発表されるまで待つ必要はありません。現時点で公表されている情報をもとに、目指す星の獲得に必要と想定される対策を進めておくことができます。ツール導入や運用の見直しには時間がかかるため、今のうちから対策を進めておくことで、制度の開始後すぐに認定を受けることが可能となります。

2024年12月に開催された検討会資料によると、★3～★４では、ベンチマークとして「自工会・部工会ガイド」との記載があります。これは、自動車製造の業界団体である「一般社団法人日本自動車工業会（自工会）」及び「一般社団法人日本自動車部品工業会（部工会）」が共同で作成した「自工会/部工会・サイバーセキュリティガイドライン」を指しています。本ガイドラインは、自動車業界向けとされていますが、その内容は他の業界でも流用が可能な一般的な内容となっています。

出典：経済産業省｜サプライチェーン強化に向けたセキュリティ対策 評価制度に関するこれまでの議論の整理（2024年12月24日）

すでに公表されているサイバーセキュリティ関連のガイドライン等を参考にして、まずは自社のセキュリティ対策の現状を把握し、解決すべき課題を整理しましょう。そしてできるところから改善を行っておくことで、制度の開始後すぐに認定を受けることが可能となります。自社のリソースだけでは難しいという場合には、専門家の力を借りることも検討しましょう。

エムオーテックスが提供するコンサルティングパッケージ「ガイドライン対応サポートアカデミー」なら、「経済産業省 サイバー・フィジカル・セキュリティ対策フレームワーク」 や「IPA 中小企業の情報セキュリティ対策ガイドライン」「IPA 情報セキュリティ対策ベンチマーク」などをもとに、すべての企業が実施すべきサイバーセキュリティ対策のチェックシートをご提供し、自社のセキュリティ対策の現状把握ができます。

さらに、コンサルタントによる動画解説や、各種セキュリティ関連規程のひな形もご提供。困ったときにはコンサルタントに個別相談もできます。特に自社の現状の振り返りには、第三者の専門家の視点を取り入れることで、今まで気づけなかった課題が発見でき、対策の精度向上につながります。

ガイドライン対応サポートアカデミー

専門家の目で強化するサイバーセキュリティ
企業・団体向けのサイバーセキュリティ対策支援コンサルティングパッケージ。チェックシートと専門家の助言で自己点検と課題発見を行い、対策の精度を向上させます。

詳細を確認する

まとめ

本記事では、サプライチェーン対策評価制度とはなにか、導入背景や評価の仕組み、導入によるメリットについて解説しました。

サプライチェーン対策評価制度を導入することで、企業は自社のセキュリティ対策レベルを客観的に把握できるだけでなく、取引先に求めるセキュリティ要件を明確に提示できるようになります。

本制度は現在も検討が進められていますが、施行を見据え、最新情報を収集しながら自社のセキュリティ対策の現状を把握し、必要な対策を進めることが重要です。自社だけでは対応が困難な場合は、エムオーテックスの「ガイドライン対応サポートアカデミー」をぜひお役立てください。

サイバーセキュリティ対策の強化に取り組むことは、自社をサイバー攻撃から守ることだけでなく、ビジネスチャンスを広げるための武器として活用できます。関連情報をブログ記事として公開しておりますので、ぜひ以下の記事もチェックしてみてください。

関連ページ

ビジネスをセキュリティの武器に！取引先の信頼にこたえるためにするべきこととは？