経済産業省と内閣官房国家サイバー統括室は、2025年12月26日に「サプライチェーン強化に向けたセキュリティ対策評価制度の制度構築方針(案)」を公表しました。
本記事では、この公式資料の内容を整理しつつ、制度のポイントと企業が今から準備しておくべき点を分かりやすく解説します。
「サプライチェーン強化に向けたセキュリティ対策評価制度」とは
「サプライチェーン強化に向けたセキュリティ対策評価制度」とは、経済産業省が検討を進めている制度です。企業のセキュリティ対策を段階的に評価し、その水準を取引先にも分かる形で可視化することを目的としています。
この制度の考え方や方向性は、経済産業省と内閣官房国家サイバー統括室が2025年12月26日に公表した「サプライチェーン強化に向けたセキュリティ対策評価制度の制度構築方針(案)」の中で整理されています。
噛み砕いて言えば「企業のセキュリティ対策の状況を、共通のレベル基準で見える形にするための仕組みをつくろう」という取り組みです。
本制度で示された評価制度は★3~★5の3段階で示され、★1・★2は既存制度「SECURITY ACTION」で制定されていおり、企業のセキュリティ対策の取り組み状況を段階的にステップアップしていく構成になっています。
3段階の水準のうち★3・★4は、令和8年(2026年)度末頃の制度開始、★5に関しては令和8年度以降に検討する予定がされています。
では、自社はどこを目標に考えればいいのでしょうか?
サプライチェーンとは?
サプライチェーンとは、原材料の調達から、製造、販売、サービス提供に至るまで、商品やサービスがユーザーに届くまでの一連の取引関係のつながりを指します。
サイバーセキュリティの観点では、どこか一社が攻撃を受けることで、その影響が他の企業にも連鎖的に広がるリスクがある点が問題になります。
本制度では、製品・サービスの提供に関わる「ビジネスのサプライチェーン」だけでなく、クラウドやITベンダーなどの「ITサービスのサプライチェーン」も対象として考えられています。
▼本記事は最新です。前回の中間発表時の記事はこちら
経済産業省「セキュリティ対策評価制度」とは? サプライチェーン強化と企業が取るべき備え https://cyber-insurance.jp/column/2565/「評価制度」とは?評価の段階と基準
下の表は、その内容をもとに整理した評価制度の段階構造です。| 構築する評価制度(案) | ★3 | ★4 | ★5(制度検討中) |
|---|---|---|---|
| 想定される脅威 | ・広く認知された脆弱性等を悪用する一般的なサイバー攻撃 |
・供給停止等によりサプライチェーンに大きな影響をもたらす事業への攻撃 ・機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃 |
・未知の攻撃も含めた、高度なサイバー攻撃 |
| 対策の基本的な考え方 |
全てのサプライチェーン企業が最低限実装すべきセキュリティ対策: ・基礎的な組織的対策とシステム防御策を中心に実施 |
サプライチェーン企業等が標準的に目指すべきセキュリティ対策: ・組織ガバナンス、取引先管理、システム防御・検知・インシデント対応等、包括的な対策を実施 |
サプライチェーン企業等が到達点として目指すべき対策: ・国際規格等におけるリスクベースの考え方に基づき、自己組織に必要な改善プロセスを整備した上で、 ・システムに対しては現時点でのベストプラクティスの対策を実施 |
| 評価スキーム | 専門家確認付き自己評価※1 | 第三者評価※2 | 第三者評価※2 |
※上記表は案段階の整理です。最終的な制度内容は今後確定される方向です。
※本表は、経済産業省公表資料をもとに、本記事編集部にて再構成したものです。
この評価制度では、企業のセキュリティ対策の状況を、★3・★4・★5の3段階に整理して見ていく、という考え方が示されています。
★3を「最低限、まずセキュリティ対策を整えておくべき水準」
★4を「組織としてセキュリティ対策がきちんと運用できていることを目指す標準的な水準」
★5を「継続的な改善まで含めた、より高度な対策を目指す到達目標の水準」
それぞれの段階がどのような考え方に基づいているのかを、順に見ていきましょう。
評価の3段階(★3・★4・★5)とは
本制度は、企業のセキュリティ対策の習熟度に応じて★3から★5までの3段階で構成されます。★3:基礎的な対策レベル
★3は、広く認知された脆弱性などを悪用する一般的なサイバー攻撃への対応を想定した水準です。サプライチェーンに関わる企業が、最低限実装しておくべきセキュリティ対策として、
・基礎的な組織的対策(体制・ルールの整備など)
・システムの基本的な防御対策
を中心に実施している状態が想定されています。
つまり、「セキュリティ対策が、まずここまでは整っていてほしい」という最低限の基礎ラインにあたる段階です。
想定評価方法:自社で行った評価結果を、社内外の専門家の確認・助言を受けて確定する方式
★4:標準的な対策レベル
★4は、供給停止などによりサプライチェーン全体に大きな影響を与える攻撃や、機密情報の漏えいなどによって重要な資産に大きな影響を与える攻撃への対応を想定した水準です。サプライチェーン企業が標準的に目指すべきセキュリティ対策として、
・組織ガバナンス
・取引先管理
・システム防御・検知
・インシデント対応
といった要素を含め、組織として体系的・継続的に対策を実施している状態が想定されています。
つまり、「組織としてセキュリティ対策がきちんと運用できている状態」を目指す、標準的なレベルという位置づけです。
想定評価方法:第三者(評価機関)のチェックを受けて評価を確定する方式
★5:到達目標のレベル
★5は、未知の攻撃も含めた高度なサイバー攻撃への対応を想定した水準です。単に対策を「実施している」だけでなく、継続的な改善まで含めた成熟した対応が求められる水準と位置づけられています。
サプライチェーン企業が到達点として目指す対策レベルとして、
・国際規格などにおけるリスクベースの考え方に基づき
・自組織に必要な改善プロセスを整備したうえで
・システムについては現時点でのベストプラクティスに基づく対策を実施している
といった状態が想定されており、★5は今後具体化が検討される水準です。
つまり、「継続的に高度化していく成熟したセキュリティ対策水準」を目指す段階だといえます。
想定評価方法:第三者(評価機関)のチェックを受けて評価を確定する方式
★1・★2について
ここまで★3・★4・★5の話を見てきて、「じゃあ★1や★2はないの?」と感じた方もいるかもしれません。結論からいうと、★1(ひとつ星)・★2(ふたつ星)は、すでに別の制度として運用されています。
★1・★2はすでに運用されている既存の制度
★1・★2は、IPA(情報処理推進機構)が実施している「SECURITY ACTION(セキュリティアクション)」という制度で使われている区分です。
SECURITY ACTION自己宣言
https://www.ipa.go.jp/security/security-action/index.html
これは、中小企業が情報セキュリティ対策に取り組んでいることを対外的に示すための、いわば「取り組み開始の宣言」に近い制度です。
★2:IPAの「5分でできる!情報セキュリティ自社診断」などで現状を把握し、基本方針を定めて公開することを自己宣言する
どちらも、「まずは最低限の対策に取り組み始めています」ということを示すための、比較的取り組みやすい入口のレベルといえます。
★3・★4・★5との関係
今回検討されている★3・★4・★5の評価制度は、こうした★1・★2の取り組みを置き換えるものではありません。
むしろ、その先の段階として、「対策の中身や運用のレベルまで含めて、もう少し詳しく水準を説明できるようにしよう」という考え方で整理されているものです。
整理すると、イメージとしては、
「★1・★2=取り組みを始めたことを示す自己宣言の段階」
「★3・★4・★5=対策の内容や運用状況まで含めて水準を示す段階」
という関係になります。
本制度の狙いと背景
「サプライチェーン強化に向けたセキュリティ対策評価制度」は、企業のセキュリティ対策の状況を段階的に整理し、取引先に対して分かりやすく説明・確認できるようにするための評価の枠組みです。ここでは、改めてこの制度が生まれた背景と、何を目指しているのかを整理します。
本制度の背景とは
これまで、取引先のセキュリティ対策を確認しようとすると、発注元ごとに異なるチェックリストや独自基準への対応が求められ、受注側にとっては大きな負担になりがちでした。一方で発注側も、「どこまで対策できていれば十分なのか」を客観的に説明・判断できる共通の基準がなく、個別確認に多くの時間とコストをかけざるを得ない状況が続いていました。
このように、個社ごとの対応を積み重ねるやり方では、サプライチェーン全体の水準をそろえることが難しく、リスク低減の効果も限定的になりがちです。
そこで求められるようになったのが、「取引の現場で使える共通のものさし」です。
本制度は、企業のセキュリティ対策の取組状況を段階(★)として示し、マーク取得も含めて取引の現場で説明・確認に使える形にすることが想定されています。
また、SECURITY ACTIONやISMS(ISO/IEC 27001)等の既存の枠組みとも連携しながら、まずは実務で使いやすい範囲から具体化を進める考え方が示されています。
企業の対策状況を段階的に整理し、取引先に対しても説明・確認しやすい形にすることで、「今どのレベルにいるのか」「どこを目指すのか」を共有するための共通言語をつくることを狙いとしています。
本制度の説明(スコープと評価の軸について)
本制度では、「何を対象に評価するのか」と「どの観点で評価するのか」をあらかじめ整理し、取引の現場で説明・確認に使える形で示しています。① サプライチェーンの「範囲・種類」の整理(評価対象の想定)
本制度が対象とする主な範囲は、次のとおりです。・取引先のサイバー攻撃に起因する情報セキュリティリスク(機密性・完全性・可用性への影響)
・製品・サービスの提供停止などの事業継続リスク
・取引ネットワークを通じた不正侵入リスク
・IT基盤(サーバー、ネットワーク、クラウド環境など)
・外部ネットワークとの境界
・取引先・委託先との関係
・運用・管理体制を含む、企業の事業活動全体に関わるセキュリティ対策の範囲
一方で、製品そのものの安全性評価や、製造現場の制御系(OT)システムの詳細な技術評価などについては、他の制度やガイドラインで扱う領域として、役割分担する前提としています。
② 7つの分類による評価の軸(何を基準に見るか)
本制度では、セキュリティ対策を次の7つの分類で整理し、評価します。・ガバナンス
・取引先管理
・リスクの特定
・攻撃等の防御
・攻撃等の検知
・インシデント対応
・インシデントからの復旧
これにより、どの領域の対策が整っているか、どこが弱く、どこから強化すべきか、さらに★3・★4・★5でどの水準まで求められるのかを、共通の観点で整理・説明できるようになります。
本制度の目標(目指す効果)
この制度が目指しているのは、企業に一律の正解を押し付けることではなく、 それぞれの企業が自社の立場に応じて「どのレベルを目標にするか」「何を優先して整えるべきか」を判断しやすくする状態をつくることです。
- サプライチェーン全体に関わるリスクを、★という段階で整理し、発注側・受注側の双方が共通の前提で対話できるようにする
- 特にリソースが限られる中小企業にとって、「何から手を付けるべきか」「まずどこを目指せばよいか」を考える指針を示す
本来は、各企業が自社のリスクを分析し、それに応じた対策を個別に設計することが理想です。
ただし現実には、まず共通の基準で全体の底上げを図り、その上で自社のリスクに応じた強化を重ねていく、という段階的なアプローチが現実的だといえるでしょう。
既存の国際規格やフレームワークとの関係
本制度は、ISMS(ISO/IEC 27001)や「SECURITY ACTION」、自工会・部工会ガイドライン、海外の「Cyber Essentials」などに加え、国内の関連制度である「JC-STAR(IoT製品に対するセキュリティラベリング制度)」や「技術情報管理認証(TICS)」とも、役割分担を前提とした補完関係にあります。
- ISMS(ISO/IEC 27001)
- SECURITY ACTION
- 自工会・部工会ガイドライン(Lv1~Lv3)
- Cyber Essentials(英国)
- その他、業界別・国別のセキュリティ評価制度・ガイドライン
本制度は、これらの認証や評価制度そのものを置き換えるものではなく、企業およびサプライチェーン全体のセキュリティ対策の成熟度を整理・説明するための枠組みです。
製品そのもののセキュリティ評価はJC-STAR、技術情報の管理体制の高度化・認証はTICSといった形で、それぞれの制度を目的に応じて使い分け・併用することが想定されています。
つまり、国際規格や既存フレームワークが「きちんとした対策を作り込むための設計図」だとすれば、この評価制度はそれを取引先とのコミュニケーションで使える共通言語に翻訳する仕組み、という位置づけです。
対立するものではなく、役割の違う補完関係にあると考えると分かりやすいでしょう。
制度導入で何が変わるのか(実務上の効果)
本制度の目的は、「セキュリティ対策を評価できること」そのものではなく、発注者・受注者の双方にとって、適切なセキュリティ対策の決定や、対策状況の説明をしやすくすることにあります。また、取引先のセキュリティ対策が適切に実装されることで、発注企業のサプライチェーン・リスクの低減や、経済・社会全体でのサイバーレジリエンス(サイバー資源を使用する又はサイバー資源によって実現するシステムに対する不利な状況、ストレス、攻撃、侵害を予測し、それらに耐え、回復し、適応する能力)の強化にもつながることが期待されます。
1. 受注企業への効果
本制度を活用することで、受注企業にとっては次のような点が明確になります。
- 自社がどの程度のセキュリティ対策を実施するべきかが明確になる
- 発注企業等に対して、セキュリティ対策に係る説明が容易になる
- 対策に要する費用や効果を可視化しやすくなる
- セキュリティサービスの標準化による選択肢の拡大やコスト低減(中長期)につながる
これにより、「何を、どこまで対応しているのか」「次に何を目指すのか」を、段階(★)という共通の枠組みで整理・説明しやすくなります。
2. 発注企業への効果
発注企業にとっては、取引先のセキュリティ対策を確認・判断する場面で、次のような効果が期待されます。
- 取引先に求めるセキュリティ対策の内容や水準の決定や、実施状況の把握が容易・適切になる
- 取引先におけるセキュリティ対策の適切な実装により、サプライチェーンに起因する自社セキュリティリスクの低減につながる
評価の段階(★)を共通言語として使うことで、個別のチェックリストの突き合わせではなく、「この取引に必要な水準はどこか」という観点で整理して判断しやすくなります。
3. 社会全体での効果
本制度は、個々の企業間のやり取りを効率化するだけでなく、サプライチェーン全体の底上げを通じて、次のような効果も期待されます。
- サプライチェーン全体での底上げを通じた、経済・社会全体でのサイバーレジリエンスの強化
- サイバー攻撃への備えのある企業等への適切な評価
- セキュリティ製品やサービスの市場拡大・競争力向上(中長期)
これにより、企業単体の対策強化にとどまらず、取引関係全体を含めた形で、持続的にセキュリティ水準を引き上げていく土台づくりにつながることが期待されます。
サプライチェーン全体でセキュリティ水準を引き上げる、という方針は、裏を返せば「現場の企業に新たなコストや手間が発生する」ことも意味します。特に中小企業にとっては、「また負担が増えるのか」と感じるのが正直なところでしょう。
ただし、国もこの点を放置しているわけではありません。経済産業省や公正取引委員会は、セキュリティ対策にかかる費用が不当に押し付けられないよう、独占禁止法や下請法の考え方を踏まえたガイドラインの整理を進めています。つまり、「セキュリティ対策を理由にした一方的なコスト負担の押し付け」は是正の対象になり得る、という方向性が明確になりつつあります。
この制度は、「下請・取引先が自己犠牲で何とかしろ」という話ではなく、サプライチェーン全体で必要なコストをどう分担するかを、より健全な形で議論するための土台でもあります。
まずは自社の立ち位置と必要な対応を整理し、そのうえで「どこまでが自社負担で、どこからは取引条件として調整すべきか」を説明できる状態をつくる。それ自体が、価格交渉や取引条件の見直しにおいても、重要な材料になっていきます。
一般企業は、まず何から考えるべきか
本制度は現在、制度設計・実証を進めている段階であり、現時点ですぐに認証取得や段階判定を求められるものではありません。
ただし、サプライチェーンを構成する企業にとっては、取引先からの説明要請や確認対応が増えていくことも想定されるため、制度が本格的に動き始めたときに慌てないよう「どこから考え始めるか」を整理しておくことに意味があります。
まずは「自社の立ち位置」を把握する
最初に考えるべきなのは、「自社がサプライチェーンの中でどの位置にいるか」です。
たとえば、取引先の業務を支えるITサービスやクラウド等を提供しているのか、重要な情報・システムを預かる立場なのか、あるいは影響範囲が比較的限定された役割なのかによって、求められやすい対策水準や説明の粒度は変わります。
自社の立ち位置を整理しておくことで、将来的に「どの段階(★)を当面の目標として考えるか」を判断しやすくなります。
つまり、立ち位置の把握は、目指すべき段階(★)を決めるための出発点になります。
「★3」は、サプライチェーンを構成する企業にとっての現実的な目標水準
制度設計上、★3はサプライチェーンを構成する企業が、一般的な脅威に対応するための水準を目指すものとして位置づけられています。
取引の現場で「一定の管理が行われている」と説明しやすい状態を想定した段階であり、制度の運用が進んだ後には、当面の目標設定の基準として参照されやすくなると考えられます。
一方で、サプライチェーン上の役割や取引要件によって、求められる水準は異なります。
このため「すべての企業が一律に★3を目指す」という前提ではなく、あくまで対象企業の目標設定や取引上の説明に用いる目安として捉えるのが適切です。
制度開始前の今は、まず★1・★2から考える
ただし、制度開始前の現時点で、いきなり★3を前提に議論するのは現実的ではありません。
実務的には、まず既存の「SECURITY ACTION」★1・★2の枠組みを使って、自社の現状を整理し、最低限どこまで説明できる状態にするかを検討するところから始めるのが自然です。
新制度の★3・★4・★5とは別の仕組みですが、★3や★4の取得に向けた準備段階・助走として位置づけられており、自社の現状整理や最低限の対策の可視化を行うための入口として活用できます。
「★一つ星」を宣言するには
中小企業の情報セキュリティ対策ガイドライン付録の付録1「情報セキュリティ5か条」に取組む。
「★★二つ星」を宣言するには
中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握し「情報セキュリティ基本方針」を定め外部に公開する。
なお、SECURITY ACTIONはIPA側でも制度の見直しや案内が進んでおり、2026年4月ごろの制度運用が予定されています。
これを機に、★1・★2で自社の取り組み状況を可視化しておくことは、制度導入後の動き出しをスムーズにします。
※参考:IPA「SECURITY ACTION」公式サイト
https://www.ipa.go.jp/security/security-action/index.html
対策だけでは埋まらないリスクと、サイバー保険という考え方
ここまで見てきたとおり、★1・★2で現状を整理し、★3で最低限の基盤を整えることは、サプライチェーン全体のリスクを下げるうえで非常に重要です。ただし、どこまで対策を積み重ねても、「事故が起きる可能性をゼロにする」ことは現実的にはできません。
実際のインシデントでは、
- ランサムウェアによる業務停止
- 委託先・取引先経由での侵入
- 設定ミスやヒューマンエラーによる情報漏えい
そして、こうした事故が起きた場合に問題になるのは、「防げなかったこと」そのものよりも、むしろその後に発生する実務的・金銭的な負担です。
例えば、
- システム停止による売上機会の損失
- 原因調査(フォレンジック)や復旧対応の費用
- 取引先や顧客への説明・対応コスト
- 場合によっては損害賠償や訴訟対応
【関連記事】サイバー攻撃の企業への被害額は?億単位もありえる被害額|2025年最新版を公開
「対策」と「保険」は役割が違う
セキュリティ対策は、「事故を起こりにくくする」ための取り組みです。一方で、サイバー保険は、「それでも事故が起きてしまったときの損失をどう受け止めるか」という経営の備えです。
サプライチェーンの一員として求められる水準に対応しつつ、同時に「万一のときに会社を守れるか」という視点で、サイバー保険も含めたリスクマネジメントを考えていく。
それが、この制度時代における、無理のないセキュリティ対策の考え方だといえるでしょう。
ホワイトペーパーでサイバー保険の基礎と選び方をわかりやすく解説。
まずは資料でポイントを押さえてから、社内検討にお役立てください。
事故発生後の損害賠償や対応費用に備え、サイバー保険の一括見積で、補償内容を比較・検討しておくことをおすすめします。
※本稿で紹介した「サプライチェーン強化に向けたセキュリティ対策評価制度」は、現時点では経済産業省の検討段階にある内容です。今後の議論や制度設計の進展により、要件や仕組みが変更される可能性があります。
※あわせて読んでおきたい関連記事
・ サイバー攻撃の企業への被害額の実態(2025年最新版)
・ サイバー保険の選び方と費用相場のポイント
▶ サイバー保険 一括見積はこちら(無料)
当サイトを運営する「ファーストプレイス」では、
大手5社のサイバー保険の保険料を、無料で一括比較・見積りいただけます。
- 東京海上日動火災保険株式会社
- 三井住友海上火災保険株式会社
- 損害保険ジャパン株式会社
- あいおいニッセイ同和損害保険株式会社
- AIG損害保険株式会社
ECサイトやWebサービスを提供している企業様は、IT業務を提供する企業様向けの「IT業務用サイバー保険一括見積サイト」もご検討ください。
出典:
経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」2025年12月26日発表
IPA「SECURITY ACTION」
