バックオフィス業務のお悩みや、PCAの業務ソフトをお使いの皆様の
お悩み解決を提供する総合サイト
お悩み解決を提供する総合サイト
セキュリティ対策評価制度とは?2026年に開始されるサプライチェーン強化と企業がとるべき対策
更新日:2026/02/17
2026年度から経済産業省が導入する「セキュリティ対策評価制度」をご存知でしょうか。
この制度は、巧妙化するサイバー攻撃からサプライチェーン全体を守るため、企業のセキュリティレベルを可視化する新たなしくみです。本記事では、この新制度の概要や目的、なぜ今必要なのかを徹底解説します。対象となる企業や具体的な評価基準、大企業から中小企業までが今から準備すべき対策、活用できる補助金まで網羅的にご紹介します。取引先選定の新たな基準にもなり得る本制度への対応に向け、何をすべきか確認しましょう。
セキュリティ対策評価制度とは 制度の概要と目的
セキュリティ対策評価制度とは、経済産業省が主導する、企業のサイバーセキュリティ対策状況を客観的な基準で評価し可視化する新しい制度です。正式には「サプライチェーン強化に向けたセキュリティ対策評価制度」と呼ばれ、サプライチェーン全体でのセキュリティレベル向上を目的としています。この制度により、企業は自社の対策レベルを取引先に明確に示せるようになり、取引先選定の新たな指標となることが期待されています。
2026年度から開始予定の新たな制度
この評価制度は、2026年度下期(10月~3月)からの運用開始が予定されています。まずは「☆3(星3)」「☆4(星4)」レベルの運用から始まり、「☆5(星5)」の開始時期は今後検討される計画です。これまで各企業が独自に行っていたセキュリティチェックシートによる確認作業の負担を軽減し、統一された基準で効率的かつ信頼性の高い確認を実現することを目指しています。
| 項目 | 内容 |
|---|---|
| 制度名 | サプライチェーン強化に向けたセキュリティ対策評価制度 |
| 主管官庁 | 経済産業省 |
| 開始予定 | 2026年度10月以降(☆3、☆4レベル) |
| 目的 | サプライチェーン全体のセキュリティ対策を強化し、企業間取引における信頼性を可視化・向上させること |
制度創設の背景にあるサプライチェーンリスクの増大
近年、セキュリティ対策が強固な大企業を直接狙うのではなく、取引関係にあるセキュリティが脆弱な中小企業を踏み台にする「サプライチェーン攻撃」が深刻化しています。一つの企業のセキュリティインシデントが、部品供給の停止や機密情報の漏洩などを通じて、サプライチェーン全体に連鎖的な影響を及ぼすリスクが増大しているのです。このような背景から、個々の企業努力だけでは限界があり、サプライチェーン全体で連携してセキュリティレベルを底上げする必要性が高まったことが、本制度創設の直接的な要因となっています。
経済産業省が目指すサイバーセキュリティ強化の全体像
本制度は、経済産業省が推進するサイバーセキュリティ政策の重要な一環です。同省はこれまでも「サイバーセキュリティ経営ガイドライン」などを通じて企業に対策を促してきましたが、その取り組み状況を客観的に示す統一的な指標がありませんでした。この評価制度は、それらのガイドラインの実践度を測るものさしとして機能し、企業の自主的な取り組みを促進するとともに、取引の安全性を示す「共通言語」となることを目指しています。最終的には、日本産業全体のサイバーレジリエンス(回復力)と国際競争力の強化に繋げることが大きな目標です。
なぜ今セキュリティ対策評価制度が必要なのか
近年、企業の事業活動は自社だけで完結することはなく、多くの取引先との連携によって成り立っています。この複雑に絡み合った供給網、すなわちサプライチェーンを狙ったサイバー攻撃が深刻化しており、個別の企業努力だけでは自社を守りきれない状況が生まれています。このような背景から、サプライチェーン全体でセキュリティレベルを向上させるための新たな枠組みとして、セキュリティ対策評価制度が必要とされているのです。
巧妙化するサイバー攻撃とサプライチェーンの弱点
サイバー攻撃の手口は年々巧妙化・悪質化しており、とくに近年ではセキュリティ対策が比較的脆弱な中小企業を踏み台にして、その取引先である大企業へ侵入する「サプライチェーン攻撃」が急増しています。独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威」においても、サプライチェーンの弱点を悪用した攻撃は常に上位にランクインしており、社会全体にとって看過できない脅威となっています。攻撃者は、企業の根幹を揺るがすさまざまな手口を用いてきます。
| 攻撃手法の例 | 狙われる弱点 | 企業への影響 |
|---|---|---|
| 標的型攻撃メール | 従業員のセキュリティ意識の低さ、不注意 | マルウェア感染、機密情報や個人情報の漏洩、他社への攻撃の踏み台化 |
| ランサムウェア | OSやソフトウェアの脆弱性、バックアップ体制の不備 | データの暗号化による事業停止、身代金の要求、窃取された情報の公開 |
| ソフトウェアの脆弱性を悪用 | 利用している正規ソフトウェアの更新プロセス | 信頼しているソフトウェア経由でのウイルス感染拡大、広範囲な被害発生 |
従来の対策の限界と新たなアプローチの必要性
これまで多くの企業で行われてきたセキュリティ対策は、ファイアウォールやアンチウイルスソフトの導入など、自社のネットワークの内と外を分ける「境界防御モデル」が中心でした。
しかし、クラウドサービスの普及やリモートワークの定着により、守るべき情報の置き場所や働き方が多様化し、この従来の境界防御モデルでは巧妙化するサイバー攻撃を防ぎきれないケースが増えています。自社だけが強固な対策を講じても、取引先が攻撃の侵入口とされてしまえば、サプライチェーン全体がリスクに晒されてしまいます。このため、個社最適の対策から脱却し、サプライチェーンに関わる企業全体で連携し、セキュリティレベルの底上げを図るという新たなアプローチが不可欠となっているのです。
取引先選定の新たな基準となる可能性
サイバー攻撃による被害は、事業停止や機密情報の漏洩といった直接的な損害だけでなく、顧客や取引先からの信頼失墜という形でビジネスに深刻な影響を及ぼします。もはやセキュリティ対策は単なるITの問題ではなく、事業継続を左右する重要な経営課題です。
この評価制度が導入されると、企業のセキュリティ対策レベルが客観的な指標で「見える化」されます。これにより、発注元企業が委託先を選定する際に、価格や品質だけでなく、セキュリティ評価を重要な判断基準の一つとする流れが加速すると考えられます。適切なセキュリティ対策を講じている企業にとっては、それが信頼の証となり、新たなビジネスチャンスの獲得や競争力の強化につながる可能性があるのです。
セキュリティ対策評価制度の対象企業と評価内容
2026年度から本格運用が開始される予定の「セキュリティ対策評価制度」は、企業のサイバーセキュリティ対策状況を客観的な基準で評価し、可視化する取り組みです。この章では、制度の対象となる企業や、具体的な評価の内容についてくわしく解説します。
対象となる企業の範囲 大企業から中小企業まで
本制度は、特定の業種や企業規模に限定されるものではなく、サプライチェーンを構成するすべての大企業、中小企業が対象となり得ます。
近年、セキュリティ対策が強固な大企業を直接狙うのではなく、取引先である中小企業を踏み台にする「サプライチェーン攻撃」が深刻化しています。そのため、発注元の大企業だけでなく、部品供給や業務委託を担う受注側の企業まで、サプライチェーン全体でのセキュリティレベルの底上げが不可欠であり、本制度はそれを後押しすることを目的としています。
評価の段階 ☆3から☆5の3段階評価
本制度では、企業のセキュリティ対策の成熟度に応じて、☆3(星3)から☆5(星5)の3段階で評価されることが検討されています。これにより、企業は自社の立ち位置を客観的に把握し、目指すべき対策レベルを明確にすることができます。各段階で想定される水準は以下のとおりです。
| 評価段階 | 目指す水準(イメージ) | 評価方法(案) |
|---|---|---|
| ☆3(Basic) | 一般的なサイバー脅威に対処できる最低限のセキュリティ対策が講じられている水準。全てのサプライチェーン企業に求められる基礎レベルと位置づけられています。 | 専門家の確認を伴う自己評価 |
| ☆4(Standard) | 初期侵入の防御だけでなく、被害拡大の防止や事業継続まで考慮した包括的な対策が講じられている水準。サプライチェーンにおける重要企業などが目指す標準レベルです。 | 第三者機関による評価 |
| ☆5(Advanced) | より高度なサイバー攻撃に対応するため、ベストプラクティスに基づき、サプライチェーン全体のセキュリティ向上に貢献できる先進的な水準。(※開始時期や詳細は2025年度以降に検討予定) | 第三者機関による評価 |
なお、IPA(情報処理推進機構)が実施する「SECURITY ACTION」制度の「一つ星」「二つ星」が、この評価制度の基礎段階(☆1、☆2)として位置づけられています。
評価基準のベースとなるNISTサイバーセキュリティフレームワーク
評価基準の検討にあたっては、国際的な標準であるNIST(アメリカ国立標準技術研究所)のサイバーセキュリティフレームワーク(CSF)が参照されています。NIST CSFは、組織がサイバーセキュリティリスクを管理・低減するためのベストプラクティスを体系的にまとめたもので、世界中の多くの企業で採用されています。このフレームワークは、主に以下の5つのコア機能で構成されています。
- 特定(Identify):組織の資産やリスクを理解・管理する
- 防御(Protect):重要なサービスを提供し続けるための適切な安全防護策を策定・導入する
- 検知(Detect):サイバーセキュリティイベントの発生を迅速に発見する
- 対応(Respond):検知したイベントに対して適切なアクションをとる
- 復旧(Recover):サイバーセキュリティインシデントによって損なわれた能力やサービスを回復させる
国内では、経済産業省とIPAが公開している「サイバーセキュリティ経営ガイドライン Ver 3.0」もNIST CSFを参考にしており、本制度もこれらの指針との整合性を保ちながら、日本企業の現状に即した基準となることが目指されています。
【関連記事:ファイル共有サービスとは?仕事やビジネスでの利用時に必要な機能や選定のポイントを解説】
企業が今から準備すべき具体的なセキュリティ対策
2026年度から開始が予定されている「セキュリティ対策評価制度」は、もはや他人事ではありません。制度への対応は、単に評価を得るためだけでなく、自社の事業継続性を確保し、競争力を高めるための重要な経営課題です。ここでは、企業が今すぐ着手すべき具体的な対策を3つのステップで解説します。
自社のセキュリティ状況の把握と目標設定
対策の第一歩は、自社の現状を正確に把握することから始まります。どこに弱点があり、何が不足しているのかを客観的に評価することが不可欠です。IPA(情報処理推進機構)が提供する「サイバーセキュリティ経営ガイドライン」などを活用し、自己診断を行いましょう。
とくに、評価基準のベースとなるNISTサイバーセキュリティフレームワーク(CSF)の考え方を理解することが重要です。CSFはセキュリティ対策を「特定」「防御」「検知」「対応」「復旧」の5つの機能に分類しており、最近のバージョン2.0では、これらを統括する「ガバナンス」が加わりました。まずはこれらの機能ごとに自社の取り組み状況を整理し、可視化することをお勧めします。
| 機能 | 主な活動内容 |
|---|---|
| ガバナンス(Govern) | 組織のサイバーセキュリティリスク管理戦略、期待、方針を確立し、伝達する。経営層の関与が中核となる。 |
| 特定(Identify) | 自社が保護すべき情報資産(PC、サーバー、データ等)を洗い出し、関連するサイバーセキュリティリスクを理解・管理する。 |
| 防御(Protect) | 重要なサービスを提供し続けるために、適切な保護策(アクセス制御、データ保護、従業員教育など)を実施する。 |
| 検知(Detect) | サイバーセキュリティインシデントの発生を迅速に発見するためのしくみ(監視、ログ分析など)を導入する。 |
| 対応(Respond) | 検知したインシデントに対して、被害を最小限に抑えるための行動(初動対応、報告、分析など)を迅速に起こす。 |
| 復旧(Recover) | インシデント発生後、事業活動を正常な状態に回復させるための計画を立て、実行する。 |
診断結果に基づき、自社が目指すべき評価段階(☆3、☆4など)を明確に設定し、現状とのギャップを埋めるための具体的な行動計画を策定します。
サプライチェーン全体の管理体制の見直し
この制度の核心は、自社だけでなくサプライチェーン全体でのセキュリティレベルの向上にあります。取引先がサイバー攻撃の踏み台にされ、自社が被害を受けるケースは後を絶ちません。そのため、委託先や協力会社を含めた管理体制の見直しが急務となります。
主な見直しポイント
- 取引先のリストアップとリスク評価:
重要な業務を委託している取引先や、機密情報を共有している取引先をすべて洗い出し、それぞれのセキュリティ対策状況を評価します。アンケートやヒアリングシートを活用して、定期的に確認するしくみを構築しましょう。 - 契約・規約へのセキュリティ条項の追加:
取引基本契約書や業務委託契約書に、セキュリティ対策の実施義務、インシデント発生時の報告義務、立入検査権、損害賠償に関する条項などを盛り込むことを検討します。 - 定期的なコミュニケーションと監査:
定期的に取引先とセキュリティに関する情報交換会を実施したり、必要に応じてセキュリティ対策状況の監査を行ったりすることで、サプライチェーン全体で継続的にセキュリティレベルを維持・向上させる体制を築きます。
評価制度に対応するための社内体制の構築
セキュリティ対策は、情報システム部門だけの問題ではありません。経営層がリーダーシップを発揮し、全社的な取り組みとして推進することが成功の鍵です。
構築すべき社内体制
- 責任者の任命と経営層への報告体制:
CISO(最高情報セキュリティ責任者)のような責任者を任命し、セキュリティリスクや対策状況を定期的に経営会議へ報告する体制を確立します。 - インシデント対応チーム(CSIRT)の整備:
セキュリティインシデントが発生した際に、迅速かつ的確に分析・対応できる専門チーム(CSIRT)を設置または強化します。中小企業の場合は、外部の専門サービスを活用することも有効です。 - 全従業員への教育と訓練の徹底:
標的型攻撃メール訓練や不審なWebサイトへのアクセス制限など、実践的な訓練を定期的に行い、全従業員のセキュリティ意識を高めます。情報セキュリティに関する基本方針や関連規程を整備し、周知徹底することも重要です。
中小企業におすすめ:信頼できるクラウド型のサービスを導入する
サプライチェーン全体のセキュリティレベル向上が求められる中で、とくにリソースが限られる中小企業にとって、対策にかかるコストは大きな課題です。
信頼できるクラウド型のセキュリティサービスは、専任の担当者を置くことが難しい中小企業にとって、費用対効果の高い有効な手段となります。自社で高額なシステムや専門知識を持つ人材を用意することなく、サービス提供者によって常に最新の状態に保たれたセキュリティ機能を、安価な月額料金などで利用できます。これにより、OSやソフトウェアの脆弱性対応、ログ監視、インシデント発生時の初動対応など、「セキュリティ対策評価制度」で求められる基礎的な対策を迅速に実現し、運用管理の負担を大幅に軽減することが可能です。
【関連記事:パスキーとは?認証方法や利用する場合のメリット、注意点をわかりやすく】
セキュリティ対策評価制度に関する今後のスケジュール
2026年度より本格的な運用が開始される「セキュリティ対策評価制度」は、日本のサプライチェーン全体のサイバーセキュリティ強化に向けた重要な一歩です。経済産業省が公開している情報に基づき、今後の具体的なスケジュールと企業が注目すべきポイントを解説します。
2026年度からの本格運用と各評価レベルの開始時期
2025年度までの準備期間や中間取りまとめの公表を経て、いよいよ制度の運用が始まります。とくに☆3(三つ星)および☆4(四つ星)レベルは2026年下期(9月~10月頃)の運用開始が予定されており、多くの企業にとって対応が急務となります。これにより、企業は公式な評価に基づき、自社のセキュリティ対策レベルを取引先に証明できるようになります。
一方で、最も高度な対策レベルである☆5(五つ星)の開始時期については、引き続き検討が進められる予定です。
今後の主要スケジュール(予定)
現時点で公表されている情報をもとに、今後のスケジュールを以下にまとめます。制度の詳細は今後更新される可能性があるため、経済産業省の公式発表を定期的に確認することが重要です。
| 時期 | 予定されている内容 | 企業が注目すべきポイント |
|---|---|---|
| 2026年度下期(9月~10月頃) | ☆3および☆4レベルの本格運用開始 | 評価申請の準備と実施。取引先から評価レベルの提示を求められる可能性。 |
| 2027年度以降(想定) | 初年度の運用結果を踏まえた評価基準の見直し・改定 | 変更される評価基準への追随と、セキュリティ対策の継続的なアップデート。 |
| 継続的 | 中小企業向け支援策(補助金、相談窓口)の継続・拡充 | 自社で活用できる支援策を常に把握し、積極的に活用して対策コストを最適化。 |
制度の定着と将来的な展望
この制度は、単に個社のセキュリティレベルを評価するだけでなく、将来的には業界の標準的な指標となることが期待されています。評価結果が取引先選定のデファクトスタンダードとなり、日本の産業全体の競争力向上に繋がることが目標とされています。また、将来的には海外の類似制度との相互認証も視野に入れられており、グローバルなサプライチェーンにおける信頼性の証明としての活用も期待されます。
セキュリティ対策評価制度開始に備える
2026年度から開始予定のセキュリティ対策評価制度は、巧妙化するサイバー攻撃からサプライチェーン全体を守るために経済産業省が主導する新たな取り組みです。個社での対策だけでは防ぎきれないリスクが増大しているため、この制度によってサプライチェーン全体のセキュリティレベルが可視化され、取引先選定の新たな基準となる可能性があります。
大企業だけでなく中小企業も対象となり得るため、自社のセキュリティ状況の把握や体制構築といった準備を早期に始めることが重要です。補助金などを活用し、来るべき制度開始に備えましょう。
