セキュリティ対策に不安を抱えるなかで、取引先からの受注を継続するため、あるいは新たなビジネスチャンスを得るために「サプライチェーン強化に向けたセキュリティ対策評価制度」の内容が気になっている企業も多いでしょう。受注側の企業として知っておきたい制度概要から目指すべき評価レベル、本制度への対応方法まで、網羅的に解説します。

「サプライチェーン強化に向けたセキュリティ対策評価制度」の概要

今後のセキュリティ対策を考えるに当たって、指標となるのが「サプライチェーン強化に向けたセキュリティ対策評価制度」です。どのような制度なのか、制度の運用が検討されている背景とともに見ていきましょう。

経済産業省が主導する認証制度

サプライチェーン強化に向けたセキュリティ対策評価制度は、経済産業省が主導して構築を進める公的な認証制度です。サプライチェーンに関わる全ての企業が対象となって評価を受け、評価レベルに応じた認証マークが授与されます。

2025年4月には、制度構築に向けた「中間取りまとめ」が発表されました。2026年度下期から、一部制度の運用開始を目指して検討が続いています。

参考:「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました (METI/経済産業省)

参考:サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ(概要)」PDF P.8(METI/経済産業省)

サプライチェーンを通じた情報漏洩の頻発が背景に

昨今、サプライチェーンを通じた情報漏洩が頻発しています。また複雑化しているサプライチェーンの中で、セキュリティに関して企業は複数の取引先から多様な要求を受けている状況です。

発注企業からすれば、受注企業で適切なセキュリティ対策が施されているかの判断が難しいでしょう。受注企業は特に中小企業において、セキュリティ対策に過度な負荷がかかっています。この背景には、発注企業側が、受注企業の「実効性のある」セキュリティ水準を客観的に判断する術がないという問題があります。

本この制度のマーク取得を通じてセキュリティ水準を可視化し、過度な負荷を避け、必要十分な対策に集中できるようにすることが、結果的にサプライチェーン全体のセキュリティレベルの底上げを図るのが本制度の目的です。

参考:サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ「サプライチ自己診断ェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ(概要)」PDF P.3(METI/経済産業省)

サプライチェーン強化に向けたセキュリティ対策評価制度の評価レベル

サプライチェーン強化に向けたセキュリティ対策評価制度では、先行制度に加えて評価レベルが追加される予定です。レベル別のセキュリティ水準と、受注側の中小企業が目指すべきレベルについて解説します。

レベルは3段階

先行するIPAの自己評価制度「SECURITY ACTION」制度には、一つ星(★、5カ条)と二つ星(★★、自社診断25問)しかありませんでした。本制度で新たに★3(Basic)、★4(Standard)、★5の3段階を設けることになっています。

★3は自己評価、★4以降は第三者評価です。★3〜★5のレベルは、次のように定義されています。

  • ★3:全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的なシステム防御策と体制整備を中心に実施している(自己評価25項目)
  • ★4:サプライチェーン企業などが標準的に目指すべきセキュリティ対策として、組織ガバナンスや取引先の管理、システム防御・検知、インシデント対応といった包括的な対策を実施している(第三者評価44項目)
  • ★5:サプライチェーン企業などが到達点として目指すべき対策として、国際規格などにおけるリスクベースの考え方に基づいて自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施している(第三者評価。対策項目は検討中)

特に★3で求められる「基礎的なシステム防御策と体制整備」には、OSやアプリケーションの脆弱性管理、そして従業員のアクセスや操作ログの記録といった、IT資産管理ツールで効率的に達成可能な項目が多く含まれています。中小企業がまず最初に取り組むべき基盤対策といえます。

本制度の認証マークは、段階的な取得が必要なものではありません。上位の基準を満たしていれば下位の基準も満たすと考えるため、最初から★4・★5の取得を目指すことも可能です。

参考:「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました (METI/経済産業省)

参考:SECURITY ACTION セキュリティ対策自己宣言|IPA(独立行政法人 情報処理推進機構)

自社ではまずどの評価レベルを目指すべき?

受注側の中小企業で情報システム部門がないなどの場合、最初から★5を目指すのは難しいでしょう。★3か★4どちらを目指すべきかによって、必要な対策が変わってきます。以下のいずれにも当てはまらなければ★3、1項目以上当てはまれば★4が適切とされています。

  • 発注者の重要な機密情報(情報を漏洩した場合に、社会的信用の低下や損害賠償をはじめとした訴訟リスクなどビジネスへの影響が大きいもの)が取引先IT基盤で取り扱われるか
  • 取引先の事業中断により自社業務に許容できない遅延が生じるか
  • 取引先環境から発注者の内部システムへのアクセスが可能か

参考:サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」PDF P.19(METI/経済産業省)

受注企業が制度運用開始前に準備すべきセキュリティ対策

サプライチェーンにおいて受注企業に当たる企業は、サプライチェーン強化に向けたセキュリティ対策評価制度の運用開始までに何を準備すればよいのでしょうか。中小企業にも可能な対策を紹介します。

自社が目指すべきレベルを判断する

「どの評価レベルを目指すべきか」の項目で紹介した基準のほか、セキュリティ対策にかけられるリソースや取引先の状況も、目指すべきレベルを判断する際に考慮すべきです。本制度の中間取りまとめでも、★3から★4に調整すべき要素が示されています。

  • 直近で当該取引先や同業他社などでインシデントが観測されるなど、リスク増大が懸念されるか
  • 再委託先に自社にとって重要な事業者が含まれる

セキュリティ対策の予算が少ない、あるいは人的リソースが限られている場合は、多機能・高コストなソリューションを避け、評価レベル達成に直結する「必要十分な機能」だけを取り入れられるクラウド型ツールを選ぶといった工夫が不可欠になるでしょう。費用対効果を最大化することが、中小企業が本制度を乗り切るための鍵となります。

参考:サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」PDF P.19(METI/経済産業省)

自社のセキュリティリスクを把握する

サプライチェーン強化に向けたセキュリティ対策評価制度で目標とするレベルの認証マークを取得するには、まず現状を知る必要があります。

セキュリティリスクにもさまざまな種類がある中で、ツールの活用によってチェックしやすいのは情報漏洩リスクです。例えばWeb操作の履歴が把握できれば、情報漏洩を引き起こすマルウェアが潜むような危険なサイトに、従業員がアクセスしていないかどうかが分かります。

情報漏洩リスクのチェックにはWatchyを活用

情報漏洩リスクを把握するには、ツールを活用すると効率的で抜け漏れが発生しにくくなります。活用できるツールの一つがIT資産管理ツール「Watchy」です。Watchyとはどのようなツールなのでしょうか。

フォルダーやWeb操作・ソフトウェアなどを監視

Watchyには、以下のように情報漏洩リスクの把握・情報漏洩の防止自体に役立つ機能があります。

  • フォルダー監視:ファイルの変更・削除のログを取得(重要なファイルの変更・削除時にアラートを設定することも可能)
  • Web操作監視:Webサイトへのアクセス履歴やダウンロード履歴ログを取得(閲覧を制限したいサイトにアクセスしたときにアラートが出る設定も可能)
  • USBドライブ監視:USBドライブ上にあるファイルの変更・削除ログを取得(USBの利用自体を制限することも可能)
  • ソフトウェア監視:ソフトウェアの稼働・終了のログを取得

従業員の作為的な操作も、偶発的な事故もWatchyの監視機能で把握できます。情報漏洩リスクを可視化して、対策の方向性を考えられるでしょう。

UIも料金プランもシンプル

Watchyは情シス部門や情シス担当者でなくても直感的に操作できる、シンプルなUIを備えています。料金プランも、必要な機能を必要なPC台数分だけ支払うというシンプルな設計です。ITツールの操作に不安がある、セキュリティ対策にかけられる予算が少ないという企業でも導入しやすいでしょう。

Watchy(ウォッチー) - クラウド型IT資産管理・ログ管理ツール

サプライチェーン強化に向けたセキュリティ対策評価制度への対策を

サプライチェーン強化に向けたセキュリティ対策評価制度は、2026年度下期から段階的な運用開始が予定されている公的な認証制度です。セキュリティレベルに応じた認証マークを取得することで、サプライチェーンにおける受注企業は取引先の信頼を得やすくなると予想されます。

中小企業の場合、目指すべきレベルはまず★3か★4です。取引先の状況・自社の予算などを加味して、現実的な目標を定めて対策に取り組みましょう。情報漏洩リスクの把握には、Watchyのような、必要な機能を選んで低コストで導入できるシンプルなIT資産管理ツールを活用することで、評価制度で求められる基礎的なセキュリティ対策を無理なく、かつ確実に実行できます。この機会に、費用対効果の高いツールで、制度対応への第一歩を踏み出しましょう。

低コスト&簡単運用 必要な機能だけを導入!だから低コストに始められる 低コスト&簡単運用 必要な機能だけを導入!だから低コストに始められる
編集部のイメージ画像
執筆者

Watchy編集部

従業員が安心して働ける環境を提供するための、IT資産管理、情報漏洩対策、労務管理に関するコンテンツを発信しています。

Watchyは、株式会社スタメンが運営するクラウドサービスです。企業のIT情報統制の課題やバックオフィスの課題を、情報システム担当者が手薄な状況でも、Watchyが解決。設定・運用の手間を最小化しながら、押さえるべきポイントを確実に押さえた企業統制の実現を支援します。

【株式会社スタメンについて】 東京証券取引所グロース市場上場。Watchy、TUNAGなど、人と組織の課題解決を実現するSaaSを展開。情報セキュリティマネジメントシステム(ISMS)及びプライバシーマークを取得。