マクニカ
内部不正&ガバナンス 2025.09.24

今からはじめる"新セキュリティ格付け制度"にむけた準備≪2025年度上期版≫

はじめに

2026年に制度開始が予定されている、経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」。
本記事では最新の検討状況や制度のねらい、企業への影響、そして今からできる具体的な準備について、現場視点から丁寧に解説します。

サプライチェーンを横断したセキュリティ対策は、近年のインシデントや社会的要請を背景に、ますます重要性を増しています。
経済産業省が検討中の新しい格付け制度は、企業の対策状況の可視化を目的に、具体的な評価基準や審査ステップを提示しようとしています。
特に取引先管理やランサムウェア対策など、多くの企業が直面する課題を踏まえた設計が話題となっています。これから始める企業担当者の目線で、制度の本質や準備のポイントを整理します。

本内容は2025414日までに経済産業省から公表されている内容を基にしています。)

目次

  • 評価制度の背景と目的
    • 制度設計の動機
    • 制度狙いと有意義
  • 制度の検討状況と特徴
    • 制度検討の流れ
    • 評価制度の仕組み
  • 何から着手すべきか
    • 制度開始に向けた当面のアクション
    • 現状把握と地道な施策整理
  • 実務ポイントと注意すべき観点
    • サプライチェーン対策と企業間連携
    • ランサムウェアとサプライチェーン

評価制度の背景と目的

制度設計の動機

新評価制度が検討される直接のきっかけとなったのは、20223月の自動車部品メーカーにおけるランサムウェア被害です。
この事件で取引元企業の全工場が一日停止となったことから、サプライチェーン全体でのセキュリティ強化の必要性が改めて認識されました。
多業種に広がる「取引先の対策状況を知りたい」というニーズは以前から根強く、個人情報の取扱いなどをめぐり、発注元から独自形式のアンケートや監査が頻繁に行われる実態もあります。
標準化された評価制度の導入によって、こうした負担の軽減と本質的な対策の推進を目指す動きが強まっています。

制度の狙いと意義

「サプライチェーン強化に向けたセキュリティ対策評価制度」は、企業が一定水準の対策を講じていることを星マーク()取得という形で証明できる仕組みです。
現時点では★3・★4・★53段階評価が想定され、202610月に★3★4から運用開始予定です(★5は今後検討)。
この制度の主な目的は下記のポイントに集約されます。

  • サプライチェーン全体の対策水準向上
  • 対策状況の可視化と情報開示
  • 中小企業のセキュリティ対策支援

星取得基準が明確化されることで、「何をどこまでやれば良いのか」が可視化され、企業間のコミュニケーションや取引もスムーズになることが期待されています。

制度の目指す姿.jpg

制度の検討状況と特徴

制度検討の流れ

20244月に経済産業省より検討開始が発表され、2025年度にかけてワーキンググループを重ねて案が整理されています。
現時点では評価基準案・要求事項案が中間とりまとめとして公表されていますが、詳細は今後も変更があり得る段階です。
制度のはじまりは★3からとなり、一般的なサイバー攻撃への対応力や、役割・責任の明確化、インシデント対応手順の整備が主な要求事項となります。
★4★5ではさらに、業務停止や機密情報漏洩など業界横断への影響を考慮した対策や、政府機関・重要インフラ企業向けの高水準要求が挙げられています。

評価は3段階を想定/基準・達成水準の全体 (2).jpg
※経産省「サプライチェーン強化に向けたセキュリティ対策評価制度 構築に向けた中間取りまとめ」より抜粋

評価制度の仕組み

現時点の制度案では、評価項目は「経営責任」「サプライチェーン防御」「IT基盤防御」の三分類で整理されています。
特に「サプライチェーン防御」という視点は従来以上に強調され、取引先に最低限のルールを求めることや、星取得状況を可視化することで自社だけでなく、サプライチェーン全体のリスク低減を目指しています。
アンケート・監査作業の負担解消や、取引要件での星取得要求も想定されており、評価未取得時のビジネス機会損失を懸念する声もあります。
さらに、星取得のためには新たな施策導入や体制整備によるコスト増加が予想されています。 

何から着手すべきか

制度開始に向けた当面のアクション

まだ制度案が確定していないなかで、今できることは以下のとおりです。
まず、自社の現状対策を整理し、どのような対策ができているかを俯瞰して把握しましょう。
制度取得のためのプロジェクト化も有効で、部門長や上位層との認識合わせ、体制構築、アクション・スケジュールの策定がスタートポイントとなります。
議論ではガバナンスやルール面を管轄する「文系」的な人材と、具体的な技術対策を推進する「理系」的な人材の両方が必要です。

できること―プロジェクト化・人材体制.jpg

現状把握と地道な施策整理

評価基準案には「定期的な棚卸し」や「現状把握」が盛り込まれています。
経済産業省が公開している対策項目案には、資産管理(IT資産やネットワーク接続)、ASM/CAASMによる可視化、インシデント体制の整備、EDRSIEMなど検知基盤、パッチ管理やバックアップ対応など、ランサムウェア防御を中心にさまざまな施策が多く含まれます。
それらの施策には、流行や最新の対策ソリューションの一斉導入や派手なツール追加だけでは解決できない、既存施策の見直し・文書化・手順整理が含まれており、台帳管理などの "地味"な施策も重要となることが想定できます。

実務ポイントと注意すべき観点

サプライチェーン対策と企業間連携

制度の本質は「自社だけでなく、取引先や子会社を含むサプライチェーン全体の安全性」を高めることにあります。
評価項目には、「取引先との関係把握」や「機密情報の取り扱い」「インシデント時の役割明確化」「契約終了時の情報回収・破棄」など、自社と他社との間で合意形成や文書化が必要な要素も多く含まれています。
星を取得することで、対策状況を社外へ証明でき、従来のアンケート回答の負担軽減も期待されますが、逆に未取得の場合は受注機会の喪失や取引条件での不利益を招く可能性もあります。

ランサムウェアとサプライチェーン

制度設計の背景にはランサムウェア脅威への対応が色濃く反映されています。ここ数年ランサムウェアの被害と共によく聞くワード「サプライチェーン」は、「サプライチェーンリスク」と「サプライチェーン攻撃」の二側面を意識する必要があります。この二側面については、無料動画で解説していますので、ぜひご確認ください。
サプライチェーンセキュリティには、幅広いセキュリティ施策が必要です。
資産の可視化・関係性の整理・機密情報の管理体制強化などさまざまな対策が求められていますが、単なる評価対応で終わらせず、ビジネス維持の観点でセキュリティの重要性を説きながら施策を整備しましょう。

最後に

新セキュリティ格付け制度は、サプライチェーン全体の対策水準底上げを目指し、企業の現状・課題を可視化するための新たな枠組みとなります。
今から準備できることは、現状把握、施策の棚卸し、体制構築、そして評価基準案の早期チェックです。
これから始まる制度にシームレスに対応できるよう、社内外の合意形成や管理体制の見直しに取り組みを進めてみてください。

本記事の詳細は、無料動画ポータル「Macnica Security& DX Stream」で公開中!
1度の登録で、100セッション以上が見放題!今すぐ動画視聴申し込みする

今からはじめる

MNB用バナー (2).jpg

無料メルマガ.jpg

RSSで購読する
ランキング
カテゴリ
タグ
月別アーカイブ