「サプライチェーン強化に向けたセキュリティ対策評価制度」の概要と企業に求められること

はじめに：サプライチェーンにおけるサイバーセキュリティ確保の必要性と課題

近年、サプライチェーン上の脆弱な企業を標的としたサイバー攻撃が増加しています。これらの攻撃による取引先経由での情報漏えい等の被害を防ぐため、企業はサプライチェーン全体でのセキュリティ対策に取り組み、かつ適切なセキュリティ対策を実施している企業と取引を行う必要があります。

このような状況を受け、企業はサプライチェーンのセキュリティ対策に取り組んでいますが、サプライチェーンセキュリティの対策は一企業のみによって実現できるものではなく、適切な取引先の選定の難しさが、堅牢なサプライチェーン構築を阻む原因となっています。

まず、発注者が適切な対策を実施している事業者を選定するにあたっては、セキュリティ対策状況に関する情報収集が必要となります。しかし、受注者において適切にセキュリティ対策が講じられているかを外部から客観的に判断することが難しく、この点が課題となっています。

さらには、発注者が各社独自のセキュリティ要件を受注者に求めることにより、受注者においては異なる取引先からさまざまな水準のセキュリティ要件への対応が求められ、対応コストが肥大化していることも課題となっています。

これらの課題を解消するため、セキュリティ対策のレベルを業種横断的に評価し、可視化できるようにすることが重要だという考えが高まってきました。こうした状況を受け、2024年7月に経済産業省の産業サイバーセキュリティ研究会に「サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ」が設置され、さまざまな議論が行われています。

本稿では、2025年4月の中間取りまとめを踏まえた「サプライチェーン強化に向けたセキュリティ対策評価制度」の概要、および本制度の運用開始に備えて企業が実施すべき事項について解説します。

「サプライチェーン強化に向けたセキュリティ対策評価制度」の概要

現在、経済産業省において検討されている「サプライチェーン強化に向けたセキュリティ対策評価制度」では、各企業が自社のセキュリティ対策レベルを統一的な基準に基づいて業界横断的に可視化し、公表できるようにすることを目指しています。

これにより、受注者側は、自社において一定のセキュリティ対策が講じられていることを客観的に示すことが可能となります。また、発注者側は、適切なレベルのセキュリティ対策が実施されている企業に業務を委託することで、サプライチェーンにおけるサイバーセキュリティの確保が容易になり、発注者・受注者双方のコミュニケーションコストの削減も期待されています。

図表1：「サプライチェーン強化に向けたセキュリティ対策評価制度」の効果

各企業のセキュリティ対策レベルは、「★3～★5」の3段階で示すことが検討されています。★1、★2に関しては、中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言する独立行政法人情報処理推進機構（IPA）の制度「SECURITY ACTION」と連携することが検討されています。

本制度によって新たに設けられる★3～★5の評価段階は、それぞれ「★3：広く認知された脆弱性等を悪用する一般的なサイバー攻撃に対処しうる水準」、「★4：供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃、および機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃に対処しうる水準」、「★5：未知の攻撃も含めた、高度なサイバー攻撃に対処しうる水準」のセキュリティ対策が講じられていることを示すものとされる予定です。

評価取得のために要求される対策事項については、中間取りまとめの参考資料として「★3・★4要求事項案・評価基準案」が公開されています。要求される対策は、「ガバナンスの整備」「取引先管理」「リスクの特定」「攻撃等の防御」「攻撃等の検知」「インシデントへの対応」「インシデントからの復旧」の7つの大分類に基づいて策定されています。

各評価段階の達成水準、要求事項および評価方法については、以下のとおり検討が進められています。

図表2：各評価の概要

また、受注者が★3、★4のどちらを取得するべきかについては、以下のような基本的な考え方が示されています。

図表3：受注者が取得すべき評価の基本的な考え方

本制度は、2026年度の10月から運用開始することが検討されています。このような制度の開始に備え、企業に求められる対応について、発注者、受注者のそれぞれの視点から解説します。

制度の運用開始に向けて企業に求められること

発注者の視点

1. 新しい制度の活用方針の検討体制を整備する
   新たに施行される制度を効果的に活用するために、社内体制を構築することが重要です。制度活用に必要な関係部門を洗い出し、横断的に連携しながら、制度の理解から活用方針の策定、実行までを一貫して推進できるよう準備することが求められます。
2. 既存の委託先・調達先に求めているセキュリティ要件を棚卸しする
   現在の委託先・調達先管理プロセスにおいて求めるセキュリティ要件を整理し、自社としてどのようなセキュリティ水準をどのような委託先・調達先に求めているかを明確にすることが重要です。これにより、現在のセキュリティ要件が十分性かどうかを確認するとともに、制度活用の方向性を検討するうえでの現状把握が可能となります。
3. 委託先・調達先管理プロセスの見直し方針について検討する
   現状の委託先・調達先管理プロセスにおいて求めているセキュリティ水準と本制度の内容を踏まえ、本制度をどのように活用し、委託先・調達先管理の実施プロセスをどのように見直すか検討することが重要です。
4. 制度の活用方針に関して委託先・調達先とコミュニケーションを図る
   新制度の活用方針について、委託先・調達先と適切に情報共有・意見交換を行い、制度の趣旨や自社の対応予定を明確に伝えることで、相互理解を深め、円滑な連携体制を構築します。

受注者の視点

1. 新しい制度の活用方針を検討する体制を整備し、制度の影響を分析する
   まずは、制度についての理解を深め、本制度の施行によって取引先との関係性や自社への影響にどのような変化が生じるかを分析することが重要です。発注者側で制度の活用が進むことにより、評価取得の遅れが取引機会の損失につながる可能性もあります。評価取得の必要性を精査し、目標とする評価段階を検討するための社内体制を整備することが必要です。関係部門が横断的に連携し、制度要件の理解、活用方針の策定、進捗管理までを一元的に推進できる枠組みを構築します。
2. 評価取得対象システムを明確化し、既存のセキュリティ対策を棚卸しする
   自社において現在実施しているセキュリティ対策を網羅的に整理・確認します。既存対策の有効性を再評価するとともに、評価取得に向けたアクションプランの策定に向けた出発点となります。
3. 求められる対策水準とのギャップを分析し、対策ロードマップを策定する
   まずは、自社を取り巻く環境や組織規模等を踏まえ、目標とする評価水準を設定します。次に、当該評価取得に必要なセキュリティ対策水準と現状の対策状況を比較し、ギャップを明確化します。その上で、ギャップを埋めるための具体的な対策ロードマップを策定し、優先順位を明確にした上で段階的に実行することで、制度に準拠したセキュリティ対策水準の達成を目指します。

まとめ

サプライチェーン全体のセキュリティ水準を底上げすることを目指す本制度は、単なる格付けではなく、サプライチェーン全体での信頼構築に向けた新たな枠組みといえます。
セキュリティ対策の実施や管理プロセスの見直しにはかなりの期間を要するため、まずは自社の現状を把握し、制度の施行に備えた対応をスモールスタートで開始することが、本制度を有効に活用するための第一歩となります。

PwCは、本稿で解説した「サプライチェーン強化に向けたセキュリティ対策評価制度」の活用に向けて、発注者・受注者双方への支援が可能です。また、本制度の活用以外にも、サプライチェーンにおけるサイバーセキュリティ確保に向けて、現状評価から、セキュリティレベルの引き上げに向けたロードマップの策定まで、一貫した支援の提供が可能です。