Written by WizLANSCOPE編集部
IPA(独立行政法人情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」で、3年連続で2位に位置づけられている「サプライチェーンの弱点を悪用した攻撃」。自社だけがセキュリティ対策を実施すれば良いのではなく、取引先を含めて、サプライチェーン全体でセキュリティレベルを上げていく必要があることから、すべての企業が『自分ごと』として対策を検討する必要があります。
そこでエムオーテックスでは、サプライチェーンにおいてのセキュリティ対策を学んでいただく場として経営層・現場担当双方を対象としたイベントとして、「サプライチェーン・サイバーリスクDAY2025」を企画し、2025年9月12日に開催しました。
イベントの参加者数はなんと500名超!経済産業省様、SEMIジャパン様によるご講演の後には、「経済産業省様に◯◯について聞いてみた!」と題してQ&Aコーナーを実施。皆様も気になっているであろうセキュリティ対策の新たな認証制度「サプライチェーン強化に向けたセキュリティ対策評価制度(以下、セキュリティ対策評価制度)」について、直球のご質問にお答えいただきました。
この記事では経済産業省様のご講演内容とQ&Aコーナーの内容をダイジェスト版にてレポートします。
【オンデマンドセミナーのご案内】
本イベントを以下の日程で見逃し配信します。フルバージョンの講演を視聴し、
レポートではお伝えしきれなかった詳細情報をぜひご確認ください。
配信期間:2025年12月31日まで
視聴お申し込みはこちら:https://www.lanscope.jp/seminar/20250924_19310/
セキュリティ対策評価制度への対策についてはLANSCOPE プロフェッショナルサービスの「ガイドライン対応サポートアカデミー」として提供するコンサルティングパッケージでご支援いたします。今すぐに対策を始めたいお客様におすすめです。詳細はお問い合わせください。
お問合せ先:sapo-aka@motex.co.jp
経済産業省様講演:産業分野におけるサイバーセキュリティ政策
セッション1では経済産業省の池田様より、産業分野におけるサイバーセキュリティ政策として、経済産業省が推進している取り組みなどについてご講演いただきました。
冒頭では、最近国内で発生したセキュリティインシデント事例や、IPA、警察庁などの調査結果をもとにサイバー脅威の動向を解説するとともに、『中小企業が実感する「セキュリティ対策の効果」』※をご紹介いただきました。
※IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査」をもとに分析・考察にまとめたもの
池田様:例えば「SECURITY ACTION(セキュリティアクション)」2つ星の25項目の達成状況と、サイバーインシデント被害の有無の集計結果を分析すると、達成状況が高い企業ほど、サイバーインシデント発生経験が少なく、また、インシデントが発生した際も、達成状況が高い企業ほど被害額が少ない傾向にあることが明らかとなっています。
また「ISMSやPマーク取得の有無と、取引先から要請されたセキュリティ対策を行ったことが、取引につながった大きな要因となったか」というアンケート調査の結果では、事業リスクに対する認識を持っている企業ほど、取引先からの信頼獲得につながるという結果が出ています。
セキュリティ対策によって取引先との信頼関係が構築されることは、長期的には中小企業の利益にもつながるものですので、こういったプラスの面があることも、ぜひ知っていただければと思います。
▼経済産業省様ご講演資料より、ISMS認証・Pマーク取得企業へのアンケート結果
経済産業省では、新たなセキュリティ対策に関する認証制度として、「サプライチェーン強化に向けたセキュリティ対策評価制度(セキュリティ対策評価制度)」を2026年度に開始するとしています。先にご紹介した実態調査の結果は、本制度も、認証の獲得により取引先との信頼関係の構築、ひいては企業の利益につながるものとなることを示唆しています。
セキュリティ対策評価制度とは、すでに実施されている「SECURITY ACTION」制度の1つ星、2つ星の上位に位置づけられるものとして3つ星から5つ星までの基準が策定されます。この星の位置づけについて講演で池田様は「4つ星を標準的な対策としてサプライチェーンを構成する企業に取得していただくことを考えており、3つ星は、4つ星を取得する前段階として実施していただくもの、という位置づけを考えています。」と述べられており、すべての企業が4つ星を目指すことが求められると説明されました。
2025年4月には本制度の中間取りまとめが公表されており、その中で3つ星・4つ星の要求事項案も公開されました。3つ星は25項目、4つ星は44項目程度となっています。3つ星・4つ星について、2026年度の制度開始を目指し、現在検討が進められています。
本制度について強調されていたのが、その意義・目的についてです。
池田様:評価制度は、発注者・受注者側から見て、適切なセキュリティ対策を実施していることを可視化することを目的としています。これによって、受注者側企業としては、どの程度のセキュリティ対策を実施すべきかが明確になるとともに、発注者側企業に対する説明が容易になるといった効果があります。これまで、様々なステークホルダから様々な対策を求められてきましたが、この制度が施行された後は、サプライチェーン対策評価制度に基づく対策を統一的な対策とすることを目指していきます。
また、発注者側企業としても、受注者側企業の対策状況を把握できることによって、サプライチェーンにおける自社のセキュリティリスク低減といった効果が期待されます。
これらの効果により、企業のセキュリティ対策が促進され、サプライチェーン全体でのサイバーレジリエンス強化によって、産業全体の発展につながることが最終的な目的です。
講演ではこの他にも、セキュリティ対策評価制度について現時点での決定事項や検討中の内容、さらには、本制度と連動して「中小企業の情報セキュリティ対策ガイドライン」の改定が進められていること、パートナーシップ構築文書の活用活性化の施策など、ここでしか聞けない情報が満載の講演となりました。
講演の最後には特に経営層に対するメッセージが伝えられました。
池田様:サイバーセキュリティ対策への投資は、コストと思われがちですが、中長期的な企業価値向上に向けた取組であることを、位置づけていただき、取引先を始め関係者との対話を通じて周知・啓発いただくとともに、実施した対策については積極的な情報開示の実施をお願いします。
サプライチェーン全体でのサイバーレジリエンスを強化するためには、これらの取組が必要不可欠なものと考えます。ぜひ、積極的な取組をお願いします。
【オンデマンドセミナーのご案内】
本イベントを以下の日程で見逃し配信します。フルバージョンの講演を視聴し、
レポートではお伝えしきれなかった詳細情報をぜひご確認ください。
配信期間:2025年12月31日まで
視聴お申し込みはこちら:https://www.lanscope.jp/seminar/20250924_19310/
Q&Aコーナー:経済産業省様に◯◯について聞いてみた!
イベントの最後に実施したQ&Aコーナーでは、事前にエムオーテックスが厳選した、参加者の皆様が気になるであろう5つの質問を経済産業省の池田様に率直にお伺いし、ご回答いただきました。ここではその一部の内容をご紹介します。
Q:評価制度の認証を取得しない場合のデメリットと、取得するメリットについて教えてください。
池田様:デメリットを一言で表すと、「不安」と「負担」だと考えます。発注元企業の視点からすると、発注先企業がどういったセキュリティ対策をしているのかが見えないことに「不安」を感じておられると思います。セキュリティチェックシートに回答してもらうなどの対策をされていても、どうしても不安がぬぐえない現状があります。それに対してセキュリティ対策評価制度であれば、国が定めた基準に対してどこまでできているのか、星の数で一見してわかることによって不安が解消されます。
一方で「負担」について、これは発注元の企業からセキュリティ対策のチェックを受ける、発注先の中小企業側の視点です。民間の調査によると、発注元企業の7割が、発注先に対してセキュリティ対策の要求をしています。企業によってそれぞれ異なるセキュリティ要求に対応しなければならず、何十項目、何百項目のチェックシートに回答しなければならない、さらに本当に実施できているのかを追求されるケースもあると聞いています。こういったことによって、取引にあたって、セキュリティ対策が大きな負担になっている現状があります。それに対して、評価制度が始まれば、国の基準を満たしているかを星の数で明確に示すことができます。発注元企業に対して自社のセキュリティ対策の実施状況をきちんと主張できること、これが大きなメリットであり、負担の低減につながると考えています。
――――発注元企業にとっても、本制度が企業におけるセキュリティ対策の「共通言語」となることに大きなメリットがあるのではないでしょうか?
池田様:自社が取引先に対してセキュリティ対策の実施を求める際に、「3つ星を取得してください」「4つ星を取得してください」の一言で済むことも、発注元企業における「負担」の軽減につながるかと思います。現在は独自にセキュリティチェックシートを作られているケースが多いと思いますが、その必要がなくなります。ぜひ発注元企業様に対しては、この制度を使っていただくとともに、自社のお取引先企業に対しての周知も積極的に行っていただきたいと思います。
Q:今後のセキュリティ対策評価制度の普及に向けた意気込みを一言お願いできればと思います。
A:どうしてもセキュリティ対策の制度は、認知度がなかなか上がらないことが課題だと考えています。いかにして認知度を上げていくかについては、とにかく粘り強く、1回2回といわず何十回でもお伝えし続けることが重要だと考えています。今後もこの制度のメリットをしっかりとお伝えしていくとともに、制度を使いやすくするための支援制度についても発信をして、発注元企業から発注先の中小企業まで幅広い方々に、制度について知っていただきたいと思います。
まとめ
「サプライチェーン・サイバーリスクDAY2025」は、サプライチェーンにおいてのセキュリティ対策を学んでいただく場として経営層・現場担当双方を対象としたイベントとして企画・開催しました。
経済産業省様のご講演では、豊富なご経験と先進的なご知見を基に、セキュリティ対策評価制度やそれに関連する取り組みの最新情報をはじめとした、サプライチェーンのサイバーリスク対策についてお話しいただきました。これからセキュリティ対策の強化に取り組まれる企業・組織にとって、非常に有益な指針となる内容をお届けすることができたと考えています。
エムオーテックスは、「Secure Productivity」をミッションに掲げ、プロダクト・サービスの提供を通じて、お客様が抱えるサイバーセキュリティの課題解決を支援します。安全と生産性の両方を実現し、お客様がエンドポイントやネットワーク、ITサービスを安心してご利用いただけるよう、これまで培ってきた技術と豊富な知見で、世界水準のプロダクト・サービスをご提供しています。今後も上質な情報をお伝えできるイベントを企画していきますので、ぜひご期待ください。
セキュリティ対策評価制度への対策についてはLANSCOPE プロフェッショナルサービスの「ガイドライン対応サポートアカデミー」として提供するコンサルティングパッケージでご支援いたします。今すぐに対策を始めたいお客様におすすめです。詳細はお問い合わせください。
お問合せ先:sapo-aka@motex.co.jp
【オンデマンドセミナーのご案内】
本イベントを以下の日程で見逃し配信します。フルバージョンの講演を視聴し、
レポートではお伝えしきれなかった詳細情報をぜひご確認ください。
配信期間:2025年12月31日まで
視聴お申し込みはこちら:https://www.lanscope.jp/seminar/20250924_19310/
ガイドライン対応サポートアカデミー
企業・団体向けのサイバーセキュリティ対策支援コンサルティングパッケージです。
動画学習とコンサルタントによる個別支援を組み合わせて、サイバーセキュリティ対策の強化を並走してご支援します。
