サプライチェーンセキュリティ評価制度の特徴まとめ

サプライチェーンセキュリティ評価制度とは

サプライチェーンセキュリティ評価制度とは、経済産業省が中心となり検討を進めている、企業のセキュリティ対策状況を共通の基準で評価・可視化するための制度です。正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」となっており、2026年度末の運用開始が予定されています。

近年、サイバー攻撃は高度化・巧妙化しており、特に問題視されているのはセキュリティ対策が十分でない取引先を起点とした「サプライチェーン攻撃」です。大企業単体では強固な対策を講じていても、取引先を経由して情報漏えいやシステム停止といった被害に発展するケースが増えています。そのため、企業単体ではなく、サプライチェーン全体でのセキュリティ水準の底上げが求められるようになりました。

こうした背景を受けて検討されているのが、サプライチェーンセキュリティ評価制度です。国が定める共通基準に基づき、企業のセキュリティ対策の達成度を「星の数」で示す仕組みとすることで、対策状況を分かりやすく可視化します。これにより、発注企業は取引先に求めるセキュリティ水準を明確にでき、受注企業側も自社が目指すべき対策レベルを把握しやすくなるでしょう。

参照元：経済産業省｜「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（SCS評価制度の構築方針（案））を公表しました（https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html）

評価の仕組みについて

サプライチェーンセキュリティ評価制度は、企業のセキュリティ対策状況を「星の数」で段階的に可視化する仕組みです。取引先ごとに異なるチェックを行うのではなく、共通基準で対策レベルを把握できる点が特徴とされています。

「星1」「星2」は、IPAが運用する「SECURITY ACTION」に基づく自己宣言型の評価です。星1は「情報セキュリティ5か条」への取り組み、星2は簡易診断と基本方針の策定・公開を行うもので、比較的取り組みやすい初期段階に位置づけられています。

新制度として検討されているのが「星3」「星4」「星5」です。星3はサプライチェーン企業が最低限実装すべき対策、星4は標準的に目指すべき対策レベルとされ、星5は今後の検討対象となっています。 星3と星4は評価方法が異なり、星3は自己評価に専門家確認を加える方式が想定されている一方、星4は第三者機関による審査が必要です。企業は取引条件や体制に応じて、適切な評価レベルを検討する必要があるでしょう。

サプライチェーンセキュリティ評価制度に向けて準備すること

IT企業などが準備すること

サプライチェーンセキュリティ評価制度に向けて、IT企業やSaaS事業者は比較的高い評価レベルを求められる可能性があります。クラウドサービスや業務システムは取引先の事業継続に直結するため、発注側から「星4」以上を前提条件として提示されるケースも想定されるでしょう。

そのため、ISMSやSOC2などの認証取得・維持を進め、第三者監査による客観的なセキュリティ証明を整えておくことが重要です。また、自社の対策状況を説明できる資料を用意することで、取引先からの確認対応を効率化できます。評価制度は判断を代替するものではなく、取引内容に応じた個別確認が行われる可能性もあるため、柔軟に対応できる体制づくりが求められるでしょう。

製造業や商社などが準備すること

製造業や商社などの一般企業では、多くの場合、まず「星3」を満たすことが求められると想定されます。星3はサプライチェーンに参加する企業が最低限備えるべきセキュリティ水準を示す位置づけであり、調達条件として「星3以上必須」とされるケースへの備えが重要です。

基礎的な対応としては、IT資産やネットワークの台帳作成、機密情報の取り扱いルール整備、インシデント発生時の対応フロー策定などが挙げられます。加えて、年1回の棚卸しや経営層への報告を通じて、対策が形骸化しない体制を整えることも欠かせません。

星3は高度な攻撃への完全な防御を保証するものではありませんが、最低限の基盤対策を揃えることで取引継続リスクを抑え、サプライチェーン全体の脆弱性低減につながる効果が期待されます。

「サイバーセキュリティお助け隊サービス」について

サプライチェーンセキュリティ評価制度への対応にあたり、「何をすべきかわからない」「人材やコストをかけられない」と悩む中小企業向けに用意されているのが「サイバーセキュリティお助け隊サービス」です。これは、経済産業省とIPAが認定する民間事業者が提供する支援サービスで、星3・星4取得を安価かつ簡便に進められるよう設計されています。

評価時には現状のセキュリティ対策を確認し、不足項目についてはITツール導入や人的支援で補完。24時間監視や相談窓口なども含まれるため、自社だけで判断・対応するのが難しい企業にとって、制度対応を進めるための実務的な支えとなる仕組みです。

参照元：独立行政法人 情報処理推進機構（IPA）｜サイバーセキュリティお助け隊サービス（https://www.ipa.go.jp/security/otasuketai-pr/）

レガシーシステムへのマイグレーションも必要となる？

サプライチェーンセキュリティ評価制度において、経済産業省の公式資料ではレガシーシステムへの対応や移行を直接求める記載はありません。ただし、レガシーシステムは現代のセキュリティ対策を実装しにくく、高いリスクを抱えやすい点が課題です。

システム更新が困難なため、多要素認証や最新の暗号化機能を導入できず、セキュリティパッチも適用できないケースが少なくありません。その結果、既知の脆弱性を放置した状態となり、サイバー攻撃やコンプライアンス違反、取引先からの信頼低下につながる恐れがあります。

本制度は企業のセキュリティ対策状況を評価・可視化する仕組みであるため、十分な対策が取れないレガシー環境のままでは評価自体が難しくなる可能性があります。制度対応を進めるには、基幹システムのマイグレーションも重要な検討項目といえるでしょう。