【経営者必読】「サプライチェーン強化に向けたセキュリティ対策評価制度」に備えよう！
～サプライチェーンから排除されないための事前知識～

近年、IT分野における新たなサプライチェーンリスクとして、サプライチェーンのいずれかの段階において、サイバー攻撃などによりマルウェア混入・情報流出・部品調達への支障などが発生する可能性や、悪意のある機能などが組み込まれ、機器やサービスの調達に際して情報窃取・破壊・情報システムの停止などを招く可能性が出てきています。

このサプライチェーンリスクが顕在化するサイバー攻撃をサプライチェーン攻撃と呼び、攻撃の最終的な標的となる企業・組織そのものではなく、その取引先、委託先、利用するシステム・機器などの開発元や供給元など、サプライチェーン上の比較的セキュリティ水準が低い組織を狙って攻撃することによって最終的な標的に被害を及ぼします。したがって、サプライチェーン攻撃で直接的に狙われるのは「セキュリティ対策が手薄な中小企業」となります。

サプライチェーン攻撃の目的には、以下のようなものがあります。

• 機密情報の窃取 (設計図、顧客情報、研究開発データなど)
• ランサムウェアによる金銭要求
• 産業インフラ・重要インフラの破壊や停止
• 政治的・軍事的なスパイ活動や妨害行為

特に最近は、国家支援型と見られるサイバー攻撃グループが、軍事・エネルギー・通信・半導体・製造などのサプライチェーンを標的にするケースが世界的に増加しており、日本企業や国内インフラ事業者も例外ではありません。

実際にサプライチェーンリスクが顕在化する事例は数多く発生しています。IPA (独立行政法人情報処理推進機構) による「情報セキュリティ10大脅威 (組織)」(注1) においては、「サプライチェーンや委託先を狙った攻撃」が2019年以降7年連続で挙げられています。このため、サプライチェーン全体でサイバーセキュリティ対策を強化していく必要性が増していることから、新制度「サプライチェーン強化に向けたセキュリティ対策評価制度 (仮称)」の導入が進められています。

サプライチェーン攻撃の代表的なパターンには、次のようなものがあります。

いずれのパターンも、「自社が直接契約している相手だけ」ではなく、その先の委託先や再委託先など多層的なサプライチェーンが関係することが多く、全体像の把握やリスク管理が難しい点が特徴となっています。

サプライチェーン攻撃は、複数の企業が関連するため、その影響が大きく、広範囲になる傾向があります。過去の事例として以下に2つの例を挙げます。これらの影響を見ると、サプライチェーン全体での対策の必要性がよく分かります。

経済産業省と内閣官房国家サイバー統括室は、サプライチェーン全体でセキュリティ対策を実施する必要性が高まっていることを受けて、2024年から産業サイバーセキュリティ研究会ワーキンググループのサブワーキンググループを立ち上げ、本制度の検討を進めてきました。そして、2025年4月に制度構築に向けた「中間取りまとめ」を公表し、12月には実証事業に取り組んできた結果を踏まえ、制度の運用体制案、セキュリティ要求事項・評価基準、評価スキームなどを盛り込んだ「制度構築方針 (案)」が示されました。その後も2026年度末ごろの運用開始を目指して、制度詳細化や運用開始準備、制度の導入促進、先行の国内外制度との調整、制度運営基盤の整備などが進められています。

本制度によって期待される効果については、中間取りまとめで次のように示されています。主にサプライチェーンの受注側が、本制度によって必要性の高い効果的なセキュリティ対策を実施できるようになることで、サプライチェーン全体、セキュリティ市場全体でサイバーレジリエンス強化が図られることが期待されています。

本制度は、サプライチェーンを構成する企業等のIT基盤 (オンプレミス環境で運用されるものに加え、クラウド環境で運用するものも含む) が対象となっています。一般的にIT基盤には該当しないと考えられる製造環境等の制御 (OT) システム、発注元などに提供する製品等については求められる対応が基本的に異なるため、直接の対象とはなっていません。
また、実施主体として想定されているのは、サプライチェーン企業 (2社間の契約における受注者側) です。ただし、発注者による協力が必要な場合もあり、取引によっては発注者にも対応が求められます。

本制度は、既存の基準やISMS適合性評価制度、海外諸外国における関連する取り組みとも整合性を取りつつ、主に、一般社団法人日本自動車工業会 (JAMA) および日本自動車部品工業会 (JAPIA) が、自動車業界のサプライチェーンリスクを意識して策定した「自工会/部工会・サイバーセキュリティガイドライン」の対策項目を参照して作られています。

本制度の評価においては、★のレベルを3から5まで設定し、それぞれの取得に必要なセキュリティ対策が提示される予定になっています。★3は、全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的なシステム防御策と体制整備を中心に実施する段階、★4は、サプライチェーン企業などが標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知およびインシデント対応等包括的な対策を実施する段階、★5は、サプライチェーン企業などが到達点として目指すべき対策として、国際規格などにおけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施する段階となっています。
★1、2については、★3、4取得に向けた準備として既存の「SECURITY ACTION自己宣言」によって取得するものとなっています。
また、★3は「自工会/部工会・サイバーセキュリティガイドライン」のレベル1、★4は「自工会/部工会・サイバーセキュリティガイドライン」のレベル2とレベル3の一部に対応するように設定されており、先行する自己評価の仕組みである「SECURITY ACTION」、「自工会・部工会ガイ ドライン」や、国際標準であるISMS適合性評価制度などと相互補完的な制度として発展することを目指しています。
★5の評価については、システムへの具体的な対策実装について実績のあるガイドラインなどから対策を選定することを想定して、令和8年度以降に対策基準や評価スキームの具体的なあり方が検討される予定となっています。
★3、4は、代表的な脅威を参考に効果の高い管理策を抽出選考するベースラインアプローチが採用されているのに対し、★5は、組織におけるリスクベースの改善プロセスを整備した上で、システムへの具体的な対策実装が必要とされているところが、大きな相違点となります。

評価手法について、★3はセキュリティ専門家による確認を経た取得希望組織による自己評価 (専門家確認付き自己評価) を求めるスキームとされています。取得希望組織が★3要求事項に基づき自己評価を行ったものについて社内外のセキュリティ専門家による確認や必要に応じた評価結果の修正を含む助言を受けた後、経営層による自己適合宣誓を含めた登録機関への評価結果 (セキュリティ専門家による署名を含むもの) 提出を行い、登録機関が申請内容に問題がない場合に台帳に登録・証書を交付し、必要に応じて公開する流れとなっています。
★4では、第三者評価 (要求事項について評価機関による審査 (取得希望組織へのヒアリング、規程の確認など)) と技術検証の実施を求めるスキームとされています。取得希望組織が★4要求事項に基づき自己評価を実施したものについて評価機関に検証・評価を依頼し、評価機関がそれを実施した結果が取得希望組織に通知され、制度事務局に提出されます。制度事務局は、「合格」とされた組織を台帳に登録・証書を交付し、必要に応じて公開する流れとなっています。
セキュリティ専門家や評価機関による評価内容については、図5のように実施することが想定され、★3、4を取得した企業の公開については、取得企業名、所在地、更新回数、適用範囲などを含む情報の台帳への登録が行われ、制度事務局のWebページなどで開示する仕組みが検討されています。
★5については、今後検討・具体化されることになっていますが、★4より高いレベルで第三者評価が実施される流れになることが予想されます。

正式な要求事項・評価基準や評価の流れは、詳細確定後の公表を待つことになりますが、2025年12月時点の取りまとめにおいては、すでに★3、4の要求事項案と評価基準案が示されており、★3の評価項目は83項目、★4は157項目あり、NIST Cyber Security Framework (CSF) の機能に対応した6つの分類に、取引先管理に重点を置いた分類を加えた7つの分類において、それぞれレベルごとに達成すべき対策として、以下のような内容が盛り込まれています。ただし、これらはサイバーセキュリティの動向等を踏まえて定期的に見直しされることが想定されています。

本制度の開始を前に、経済産業省と内閣官房国家サイバー統括室においては、さまざまな導入促進策が検討されています。例えば、IPAがすでに普及活動を進めている「サイバーセキュリティお助け隊サービス」(注4) については新類型の開発が検討されており、IT導入補助金による導入支援制度を利用することで、中小企業が本制度への対策を進めやすくなることが期待されます。また、「中小企業向けサイバーセキュリティ対策支援者リスト」を整備し、中小企業と専門家のマッチングの仕組みの構築や本制度におけるセキュリティ専門家の確認・助言に資する支援ツールを公表することも検討されており、今後さまざまな支援策が提供される予定となっています。

このような状況において、経営層の皆さまにお伝えしたいのは、本制度が事業の新たな取引条件になるということです。製品の価格や品質が優れていても、本制度による★の取得がなければ、入札や見積もりの土俵にさえ上がれないリスクが生じることになります。制度開始は2026年度末ごろを予定とされていますが、セキュリティ対策は長期的な準備が必要になるため、制度が始まってから対応するのではなく、今から次のような取り組みを進め、制度開始後スムーズに★を取得できるように準備しておくことが望まれます。

KDDIでは、(1) から (4) までの取り組みに関し、一気通貫でサポートすることができます。特に、導入にあたってどこから手を付けるべきか分からない場合は、コンサルティングサービスによってIT環境の全体を見直し、具体的な構想策定を行うご支援を行っています。

特に、(1)「現状の可視化」については、グループ会社の株式会社ラックが提供する「サプライチェーンリスク評価サービス」をご紹介することも可能ですので、ぜひご相談ください。

本制度は、日本企業のサプライチェーン全体でサイバーレジリエンスを強化するための重要な施策ですが、準備が不足する企業にとっては事業の危機になり得ます。以下のそれぞれの目線で本制度の開始に備えていただけますと幸いです。