これまで多くの企業がさまざまなセキュリティ対策を講じてきましたが、近年、取引の場面で目にする機会が増えているのが、各社の取り組み状況を確認するための「セキュリティチェックシート」です。
しかし、セキュリティチェックシートの確認方法や基準は企業によって異なるため、対応に迷うケースも少なくありません。
こうした背景を受け、開始(2026年10月予定)されるのが「セキュリティ対策評価制度」です。
本記事では、セキュリティ対策評価制度が構築された背景や目的、具体的な評価内容、そして今後企業に求められる対応について、わかりやすく解説します。
まずは「セキュリティ対策評価制度」の概要を確認しましょう。ここでは、制度が構築された背景や目的に加え、導入に向けたスケジュールについて整理して解説します。
セキュリティ対策評価制度とは、経済産業省が推奨する制度で、企業が実施しているセキュリティ対策の状況を一定の基準で評価・可視化する仕組みです。サプライチェーン全体のセキュリティ水準向上を目的としており、評価は★3〜5段階で示されます。
今後、企業間取引において重要な判断材料となる可能性があります。
近年のサイバー攻撃は、大企業だけでなく中小企業を狙うケースも増えています。特に、大企業を攻撃する目的で取引先の中小企業を踏み台にする「サプライチェーン攻撃」により、情報漏えいやシステム停止などの被害が後を絶ちません。
こうした状況を受け、多くの企業が取引先に対して個別のセキュリティチェックシートを送付し、対策状況を確認する動きが広がっています。一方で、チェック項目や評価基準が企業ごとに異なるため、発注者(依頼する企業側)は「回答内容の正確性を判断しづらい」、受注者(依頼される企業側)は「判断基準が分からない」といった課題が生じていました。
そこで経済産業省は、日本企業全体が共通の基準でセキュリティ対策の実施状況を評価できる仕組みとして、サプライチェーン強化に向けた「セキュリティ対策評価制度」を構築しました。
経済産業省は2025年12月に、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」を公表しました。その中で、令和8年度の制度開始を見据え、制度運用に向けた準備や利用促進を進めるためのスケジュールを示しています。
出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」
次に、セキュリティ対策評価制度における各段階(★3~5)の考え方や脅威に対する達成水準、評価基準を整理しながら、評価方法について解説します。
セキュリティ対策評価制度では、セキュリティ対策の実施状況を★3~5の3段階で評価します。
<★3~5段階の考え方>
<★3~5段階の脅威に対する達成水準>
<★3~5段階の評価基準 / 有効期限>
*専門家確認付き自己評価
★取得希望組織が自ら実施した評価の結果について、セキュリティ専門家による確認及び助言を経て、取得希望組織の評価結果として確定させること。
*第三者評価
★取得希望組織が自ら実施した評価の結果について、★取得希望組織以外の組織(評価機関)による評価等を経て、評価結果として確定させること。
一方で、★1・★2については、IPA(情報処理推進機構)が実施する既存制度「SECURITY ACTION」によって位置づけられます。★1・★2は自己宣言により取得できるため、比較的取り組みやすいことが特徴です。
<★1・★2の取得方法>
次に、セキュリティ対策評価制度において、どのような企業が制度の実施主体(対象)となるのか、そして 制度の対象範囲がどこまで想定されているのか を解説します。
この制度では、サプライチェーン企業(2社間契約における受注者側)が対象になることが想定されています。ただし、サプライチェーン企業がセキュリティ対策を進めるにあたり、発注者側の協力が必要になる場合があります。そのため、制度が想定する対象事業者(制度利用者)の範囲は、赤枠で囲われている範囲とされています。
なお、サプライチェーン企業は取引内容によっては発注者の立場になる場合もあります。
また、評価取得の申請主体は、自社IT基盤を中心とした自社のセキュリティ対策の向上に責任を持つ単位とされています。
具体的には、基本的には以下のいずれかの単位を想定します。
・法人単位
・企業グループ単位または事業部単位
出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」
①IT基盤
・社内でネットワークに接続する端末やデバイスといったエンドポイント機器(PC、スマートフォン、タブレット、サーバー、プリンター、IoT機器など)
・インターネット上で公開しているWebサーバー、メールサーバーなど
・クラウドサービスや他社と接続する共通ネットワークなど
②外部ネットワーク境界
・社内ネットワークと社外ネットワークを接続
・制御するファイアウォール、ルーター、VPN機器など
・一方向のゲートウェイなどにより外部ネットワークから分離されている製造環境などの制御システム(OT)
・当社IT基盤に接続していない機器など(製品として顧客に提供している機器や当社管理対象外で稼働している機器)
※ただし、当社IT基盤(当社クラウド、遠隔保守用VPN等)と接続して運用する部分は対象となり得る。
セキュリティ対策評価制度が始まると、以後の取引条件において本制度が活用・重視される可能性が高まります。そのため、制度開始後すぐに対応できるよう、事前に準備を進めておく必要があります。
次に、制度開始までに企業(発注者、受注者)が実施しておくべき項目をご紹介します。
①制度を理解し、自社の目指すべきレベルを明確化する
評価制度の要求事項を理解したうえで、自社が目指すセキュリティ対策の認定レベル(例:★3~5)を定めておきましょう。目指す認定レベルを検討する際には、取引先から求められるセキュリティ要件や取引条件を事前に確認しておくと安心です。
②自社のセキュリティレベルを整理する
現状の自社におけるセキュリティ対策状況や運用体制を整理しましょう。目指す認定レベルを基準に、不足している対策や改善点を可視化し、制度開始までに条件を満たせるよう対応計画を立案しておくことが重要です。
③社内の予算確保
目指すべき認定レベルの条件を満たすためにセキュリティ機器やツールの見直し・新規導入が必要となる場合があります。制度開始後にスムーズに対応できるよう、制度開始前に必要な予算の確保を行っておきましょう。
④社内研修の実施
セキュリティ対策を強化し、制度の認定レベルを目指すうえでは、従業員一人ひとりの理解と意識向上が不可欠です。評価制度の概要や自社が目指すセキュリティレベル、社内ルールについて研修を実施しましょう。
また、新たにツールを導入する場合は、操作マニュアルを整備し、周知時に配布できるよう準備しておきましょう。
⑤最新情報を継続的に把握する
今後、実証事業等を通じて、評価制度の内容や評価基準が変更・追加される可能性があります。そのため、制度開始(2026年10月予定)まで、経済産業省の公式サイト等を定期的に確認し、最新情報を把握しておきましょう。
受注者に求めるセキュリティレベルや評価方法をあらかじめ定義しておきましょう。また、制度開始前に受注者への通知や説明会の開催などを通じて、十分な準備期間を設けることが望まれます。
発注者から求められるセキュリティレベルを把握し、不足している対策の強化やインシデント対応手順の整備を進めましょう。また、セキュリティ対策を証明するための記録を整備し、必要に応じて第三者認証の取得を検討しておくことも有効です。
最後に、セキュリティ対策評価制度の内容が難しいと感じられた企業様に向けて、今後の対応の考え方をご紹介します。
ここまで、制度が検討された背景や制度の概要、評価方法などについて解説してきました。一方で、「一通り読んだけれど理解しきれない」「自社で対応できるか不安」と感じる企業様もいらっしゃるのではないでしょうか。
実際に経済産業省が公表している資料にはIT・セキュリティの専門用語や分かりにくい表現が含まれてることがあり、内容を正確に読み解くには一定の知識が求められます。制度の理解が十分でないまま対応を進めると、必要な対策が不足した状態で準備を進めてしまい、結果として評価要件を満たせない可能性もあります。
そのため、社内にIT担当者がいない場合や制度の読み解き・対応方針に不安がある場合は、評価制度への対応を支援している専門業者へ相談することも有効です。
以上、セキュリティ対策評価制度が構築された背景や目的、具体的な評価内容、そして今後企業に求められる対応について、わかりやすく解説しました。
― セキュリティ対策評価制度とは
― セキュリティ対策評価制度の評価方法
― セキュリティ対策評価制度の対象となる企業と対象範囲とは
― セキュリティ対策評価制度開始前に実施すべきこと
― 「制度内容が難しい」と感じた企業様へ
セキュリティ対策評価制度は、サプライチェーン全体のセキュリティ水準向上を目的に、経済産業省を中心に検討が進められています。制度が開始されると、取引先によっては評価結果や一定の対策水準が取引要件として求められる可能性があります。また、セキュリティ対策の強化には時間やコストがかかりますが、評価制度への対応を進めることで取引継続の安心材料となるだけでなく、新規取引やビジネス拡大につながることが期待できます。
制度開始に備え、早めに自社のセキュリティ課題を整理し、必要な対策を計画的に進めていきましょう。
ソニックスでは、セキュリティ対策評価制度への対応を検討されている企業様への支援や、セキュリティ対策の見直し(セカンドオピニオン)を行っています。
「自社で対応できるか不安」「何が不足しているのか分からない」といったお悩みがありましたら、ぜひお気軽にソニックスまでお問い合わせください。
.jpg)
