【経産省】新制度「セキュリティ対策評価制度」とは?2026年開始で変わる"取引条件"と企業の必須準備
- セキュリティ対策評価制度の仕組みと設立の背景
- ★3〜★5の評価区分、受注企業・発注企業・社会全体それぞれの導入メリット
- 2026年開始を見据えた目標レベル設定、体制整備、社内教育、外部委託先評価の実務対応
セキュリティ対策評価制度とは、経済産業省がサプライチェーン全体のセキュリティ強化を目的に策定した、企業のセキュリティ対策の実施状況を段階(★3〜★5)に沿って可視化する仕組みです。
2026年度上期(4〜9月)を準備期間とし、同年度末頃に正式運用が開始される予定です。
本記事では、制度の概要や評価基準、創設の背景を解説するとともに、受注企業・発注企業・社会全体それぞれのメリットを整理します。制度開始前に企業が整えるべき体制や具体的な準備事項も紹介しますので、早期対応のヒントとしてお役立てください。
セキュリティ対策評価制度とは?
セキュリティ対策評価制度は、取引先間で互いのセキュリティ対策状況を客観的に評価できる仕組みです。本制度では、企業のセキュリティ対策の実施状況を3段階(★3・★4・★5)に沿って可視化します。
経済産業省が策定・公表した本制度は、企業間取引におけるセキュリティレベルの見える化を推進し、取引先間の信頼性向上を図るために整備されました。2026年度から正式に運用が開始される予定で、これにより信頼性の高い取引環境が整うことが期待されています。
セキュリティ対策評価制度が創設された背景
近年、サプライチェーンを経由したサイバーインシデントが増加しています。情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2025」では、サプライチェーンや委託先を狙った攻撃が、社会的影響の大きかった脅威の第2位に挙げられました。
【参考】情報セキュリティ10大脅威 2025|IPA 独立行政法人 情報処理推進機構
このような状況下で、受注企業は取引先ごとに異なるセキュリティ要求への対応に追われ、発注企業は取引先のセキュリティレベルを客観的に把握しにくくなっています。その結果、セキュリティ対策が各企業でばらばらに実施され、サプライチェーン全体のセキュリティレベルの底上げにつながりにくいという課題を抱えています。
セキュリティ対策評価制度は、企業が満たすべきセキュリティ対策を体系化し、その達成状況を可視化する仕組みとして創設されました。
セキュリティ対策評価制度の目的
セキュリティ対策評価制度の目的は、サプライチェーン全体で発生し得るリスクを踏まえ、企業に必要なセキュリティ対策を明確に示すことです。企業は求められる対策のレベルや内容を把握でき、自社にとって何が重要かを判断しやすくなります。
特に中小企業では、セキュリティ対策に充てられるリソース(人員・予算)が限られ、どの対策を優先すべきか判断に迷うケースも少なくありません。本制度を活用すれば、必要な対策が明確になり、限られたリソースを効率的に配分できます。
セキュリティ対策評価制度の進捗状況
現在、制度設計と実証事業が並行して進められています。2025年4月には中間取りまとめが公表され、制度の方向性が示されました。今後のスケジュールは以下のとおりです。
- 2026年度上期(4〜9月):制度導入の準備
- 2026年度下期(10月〜2027年3月頃):制度の正式開始(予定)
2026年度の制度開始を目指し、実証事業や制度運営基盤の整備なども進められる予定です。
現時点では、本制度への対応や認証取得は義務ではありません。しかし今後、大企業が取引条件として認証取得を求めたり、将来的に義務化されたりする可能性も十分に考えられます。制度開始を待たず、早い段階から内容を理解し、必要な対策の検討を始めることが重要です。
2025年12月公表:制度構築方針(案)の概要
2025年12月26日、経済産業省および内閣官房国家サイバー統括室は「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」を公表し、意見公募を開始しました。
本方針(案)は、2025年4月に公表された「中間取りまとめ」以降に実施してきた実証事業の結果を踏まえ、 制度の運用体制、セキュリティ要求事項・評価基準、評価スキームの具体像を示したものです。これにより、本制度は構想・検討段階から、実運用を見据えた具体化フェーズへと進んだと考えられます。
制度開始時期と評価段階の整理
制度構築方針(案)では、評価段階ごとの開始時期についても整理されています。★3および★4については、2026年度末頃の制度開始を目指すことが明示されました。
一方で、★5については、2026年度以降に対策基準や評価スキームの具体化を検討する段階とされています。そのため、現時点ですべての企業に★5水準の対応が求められるわけではありません。
また、本制度は企業のセキュリティ対策状況を競わせる格付け制度を目的としたものではない点も、あらためて強調されています。 各企業がサプライチェーンにおける自社の立ち位置や重要性を踏まえ、適切な対策レベルを判断するための指針として活用されることが想定されています。
中小企業向け支援策と制度活用のポイント
制度構築方針(案)では、セキュリティ対策評価制度の活用を後押しするため、 中小企業向けの支援策として「サイバーセキュリティお助け隊サービス(新類型)」を創設する方針も示されました。
このサービスは、★3・★4の取得や更新時に必要となる評価や対策の実施を、安価かつ簡便に支援することを目的としたものです。評価の実施に加え、未達項目に対するITツール導入や人的支援などをワンパッケージで提供する仕組みが想定されています。
今後は、実証事業を通じてサービス内容や価格要件の検討が進められる予定であり、特にリソースに限りのある中小企業にとって、制度対応のハードルを下げる施策として注目されます。
セキュリティ対策評価制度の内容
セキュリティ対策評価制度では、サプライチェーンにおけるリスクを的確に把握し、企業が取るべき対策を明確に示す基準が設けられています。
ここでは、本制度の具体的な内容を詳しく解説します。
対象とするリスクの範囲
本制度では、サプライチェーンリスクとして以下の3つを想定しています。
- 情報セキュリティリスク:取引先へのサイバー攻撃などに起因する、機密性・可用性・完全性への影響
- 製品・サービスの提供途絶リスク:サービス停止や部品供給の遅延など、事業継続性への影響
- 取引ネットワークを通じた不正侵入リスク
これらのリスクは、以下のように分類されています。
| 分類 | 想定するサプライチェーンリスク | インシデントの事例 |
|---|---|---|
| 自社事業・サービスの提供途絶 | サイバー攻撃を受け調達部品が遅延・停止 | 自動車部品メーカー、半導体事業者 |
| 自社事業・サービスの提供途絶 | クラウドサービスへの攻撃を受けてサービスが停止 | クラウド事業者 |
| 機密情報の漏えい、改ざん | サプライチェーン企業への攻撃による情報漏えい・改ざん | BPO事業者 |
| 機密情報の漏えい、改ざん | マネージドサービスへの攻撃による機密情報の漏えい・改ざん | ITベンダー |
| 機密情報の漏えい、改ざん | クラウドサービスへの攻撃による機密情報の漏えい・改ざん | クラウド事業者 |
| 取引先等を踏み台とした不正侵入 | サプライチェーン企業を踏み台にした不正侵入 | クラウド事業者 |
| 取引先等を踏み台とした不正侵入 | マネージドサービスを踏み台にした不正侵入 | ITベンダー |
参考:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」P13
制度の対象範囲
本制度の評価対象は、サプライチェーンを構成する企業が保有するIT基盤です。具体的には、オンプレミス環境で運用されるシステムや、クラウド環境で運用されるシステムが含まれます。
一方で、製造環境等の制御(OT)システムや、発注元等に提供する製品等は直接の対象とはされておらず、他の制度・ガイドライン等に基づく対策が想定されています。
評価制度
セキュリティ対策評価制度は、サプライチェーンにおける企業の重要性や影響度に応じて、求められるセキュリティ対策の水準を以下の★3、★4、★5の3段階で評価します。
-
★3:一般的なサイバー脅威に対応できる基本水準
全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、 基礎的なシステム防御策および体制整備を中心に実施する段階です。評価方法は、専門家確認付き自己評価が想定されています。 -
★4:標準的に目指すべきセキュリティ対策水準
初期侵入の防御に加え、被害拡大の防止や目的遂行リスクの低減を重視します。組織ガバナンス、取引先管理、システム防御・検知、インシデント対応など、包括的なセキュリティ対策の実装が求められる段階です。評価は、認定を受けた評価機関による第三者評価を前提としています。 -
★5:到達点として目指す高度なセキュリティ対策水準
未知の攻撃を含む高度なサイバー攻撃にも対応するため、国際規格等におけるリスクベースの考え方を踏まえ、自組織に必要な改善プロセスを整備した上で、現時点でのベストプラクティスに基づく対策を実施する段階です。なお、★5の対策基準や評価スキームの詳細については、2026年度以降に具体化を検討する予定とされています。
評価制度の概要は以下のとおりです。
| ★3 | ★4 | ★5 | |
|---|---|---|---|
| 想定される脅威 | 一般的なサイバー攻撃(脆弱性悪用など) |
・サプライチェーンに大きな影響を与える企業への攻撃 ・機密情報など重大資産を狙う攻撃 |
未知の攻撃を含む高度なサイバー攻撃 |
| 対策の基本的な考え方 | 基礎的な組織的対策とシステム防御策を中心に実施 | 組織ガバナンスや取引先管理、システム防御・検知、インシデント対応など包括的な対策を実施 | 国際規格を参考に改善プロセスを整備し、現時点のベストプラクティスを適用 |
| 評価スキーム | 専門家確認付き自己評価 | 第三者評価 | 第三者評価(検討中) |
参考:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」P18 2.2 制度において設ける段階
また、評価項目は以下2つの観点から構成される予定です。
- ビジネス観点(データ保護・事業継続の重要度
- システム観点(他社との接続の有無)
評価スキーム
セキュリティ対策評価制度は、評価段階ごとに有効期限が設定される方向で検討が進んでいます。現時点では、★3は1年、★4は3年の有効期間が設けられる見込みです。
また、企業が有効期限を更新するためには、指定期間ごとに再評価を受ける必要があります。これにより、対策が一時的なものではなく、継続的に基準を満たしているかを確認する仕組みが整備されています。
| ★3 | ★4 | |
|---|---|---|
| 有効期間 | 1年 | 3年 |
| 評価実施主体 | 自社による自己評価(社内外の専門家による確認・助言・署名を経て確定) | 認定を受けた評価機関による第三者評価 |
| 維持に必要な手続き | 毎年、要求事項の遵守状況を自己評価する |
・有効期間内は1年ごとに自己評価を実施 ・3年に1回の有効期限の更新では第三者評価が必須 |
参考:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」P28 2.4 制度における評価スキーム
国内外の関連制度との連携・整合
本制度は、国内外の既存制度と連携しながら整合性を高め、相互補完的に発展していくことを目指しています。主な連携対象となる制度は、以下の3つです。
- SECURITY ACTION(中小企業向けの自己宣言型セキュリティ対策制度)
- 自工会・部工会ガイドライン(自動車業界のサプライチェーンにおけるセキュリティ基準)
- ISMS適合性評価制度(ISO/IEC 27001に基づく国際的な情報セキュリティ認証)
引用:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」p26
こちらは、制度で用いるセキュリティ要求事項・評価基準を表した図解です。SECURITY ACTIONは、業務のデジタル化に取り組む中小企業が、まず取り組むべき基本的なセキュリティ対策をまとめた自己宣言型の制度となっています。★1(5項目)、★2(25項目)の2段階が用意されており、費用をかけずに実施できる点が特徴です。
セキュリティ対策評価制度では、このSECURITY ACTIONを基礎とし、より重要度の高い企業や取引において★3以上の水準を求めていく構成が検討されています。
また、★3・★4は自工会・部工会ガイドラインのレベル1・レベル2に対応しており、同ガイドラインの自己評価結果を本制度でも活用できるように連携が進められています。
さらに、英国政府が支援するサイバーセキュリティの認定制度であるCE(Cyber Essentials)についても、将来的な相互認証の可能性を視野に入れ、継続的な調査や意見交換を進めている段階です。
セキュリティ対策評価制度のメリット
セキュリティ対策評価制度は、受注企業、発注企業、そして社会全体にとって多くのメリットをもたらします。ここでは、それぞれが得られる主なメリットを詳しく解説します。
受注企業のメリット
受注企業が得られる主なメリットは以下の3点です。
- 必要なセキュリティ対策が明確になる
- 取引先からの信頼を得られる
- コスト最適化につながる
1. 必要なセキュリティ対策が明確になる
セキュリティ対策評価制度を活用することで、自社がどの水準のセキュリティ対策を実施すべきかが明確になります。専門家の客観的な評価により、現状の課題や優先的に取り組むべき対策などを整理することが可能です。結果的に、無駄のない効果的なセキュリティ対策を講じられるようになります。
2. 取引先からの信頼を得られる
評価結果を取引先に提示することで、自社のセキュリティ対策状況を客観的に示せます。一定のセキュリティレベルを満たしている証明となり、取引先からの信頼向上につながります。
セキュリティ体制に関する説明責任も果たしやすくなり、継続的な受注の確保や新規取引の獲得にも好影響が期待できます。
3. コスト最適化につながる
評価基準は国際的な認証制度や既存のガイドラインと整合性を持ち、非効率な対策の重複を防ぎます。結果として、セキュリティ投資の最適化が実現します。
さらに、取引先ごとに異なる要求事項に対応するためのコストも削減できます。限られた予算を効果的に配分しやすくなり、中長期的なコストの最適化も期待できるでしょう。
発注企業のメリット
発注企業の主なメリットは、以下の2点です。
- 取引先に求める対策水準を明確化できる
- サプライチェーンリスクを低減できる
1. 取引先に求める対策水準を明確化できる
セキュリティ対策評価制度では、求めるべき対策内容が体系化されています。そのため、発注企業は取引先に対して求めるセキュリティ水準を明確に提示できます。評価結果をもとに取引先の対策状況を容易に把握でき、判断基準の標準化や管理業務の効率化を進められるでしょう。これにより、取引先選定の透明性が高まります。
2. サプライチェーンリスクを低減できる
サプライチェーン攻撃は、取引網の中で最もセキュリティ対策が弱い企業を起点として行われるケースが多いとされています。そのため、個々の企業が対策を強化するだけでなく、サプライチェーン全体で一定水準のセキュリティレベルを確保することが重要です。
セキュリティ対策評価制度を活用することで、取引先ごとの対策状況が可視化され、必要な水準を揃えやすくなります。これにより、サプライチェーン全体のセキュリティレベルが底上げされ、発注企業にとってのサプライチェーンリスクを低減できます。
その結果、企業が使用するデータやシステムの安全性が向上し、事業継続性の確保にもつながります。
社会全体のメリット
社会全体のメリットは、以下の2点です。
- 社会全体のセキュリティ水準向上につながる
- セキュリティ製品・サービス市場の活性化につながる
1. 社会全体のセキュリティ水準向上につながる
サプライチェーン全体でセキュリティ対策が適切に実施されることで、社会全体のサイバーレジリエンス(サイバー攻撃やシステム障害発生時に事業を継続し、迅速に回復する能力)が強化されます。
また、セキュリティ対策が十分に整った企業が正当に評価されることで、セキュリティ投資へのインセンティブが生まれ、さらなる対策強化の好循環が期待できます。
2. セキュリティ製品・サービス市場の活性化につながる
統一的な評価制度が普及することで、セキュリティ製品やサービスの標準化が進み、市場全体の競争力が高まります。これにより、提供されるサービスの質が向上し、選択肢が拡大することが期待されます。
企業が自社に適したサービスを選びやすくなる点も大きなメリットです。評価制度を基準としたサービス開発が進めば、新たなソリューションの創出や市場の技術革新にもつながります。
セキュリティ対策評価制度が始まる前にやるべき準備
セキュリティ対策評価制度は、2026年度末頃に開始される予定です。制度が始まる前に企業がやるべき主な準備は、以下の5つです。
- 目指すべき★のレベルを明確にする
- セキュリティ対策や運用体制を整理する
- 社内教育を実施する
- 不足している対策を講じる
- 外部委託先を評価する
それぞれの内容を詳しく解説します。
1. 目指すべき★のレベルを明確にする
まずは、制度の目的や内容を理解し、自社の取引や業務運用にどのような影響を与えるのかを把握することが重要です。
経済産業省が公表している「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を参考にし、自社が目指すべき評価レベル(★3・★4・★5)を事前に明確にしておきましょう。
評価レベルごとに求められる対策内容は異なります。そのため、自社の事業内容やサプライチェーンにおける役割を踏まえ、適切な目標レベルを設定することがポイントです。 制度開始後に慌てずに対応できるよう、早めに目標レベルを設定しておきましょう。
2. セキュリティ対策や運用体制を整理する
目指す評価レベルを基準に、現在のセキュリティ対策や運用体制における不足点を整理しましょう。これにより、制度開始後の認定取得をスムーズに進められます。
評価レベルによっては、セキュリティ強化を目的とした機器の更新や新たなツールの導入が必要になることもあります。制度開始後に「必要なセキュリティ水準に達しておらず、取引機会を逃す」といった事態を避けるためにも、早期に改善計画を立案し、予算確保や製品選定を進めておくことが肝心です。
事前に準備を進めることで、制度が開始した時点で滞りなく対応できるでしょう。
3. 社内教育を実施する
制度に対応するためには、情報を扱う部門やサービスの受発注に関わる従業員が制度を正しく理解していることが欠かせません。制度の概要や自社が目指す認定レベル、必要な対応内容を社内研修や資料共有を通じて周知し、従業員の理解を深めましょう。
また、制度に合わせて新たに策定・更新される社内ルールや、導入予定のセキュリティツールなども、関係者への適切な情報共有が重要です。評価内容や基準は今後変更される可能性があるため、経済産業省の発表を定期的に確認し、最新情報を踏まえて社内教育体制を整備しましょう。
4. 不足している対策を講じる
現在のセキュリティ対策に不足がある場合は、必要な対策を早急に実施することが重要です。たとえば、セキュリティ製品の導入や、専門家によるコンサルティングを受け課題を可視化することなどが挙げられます。
これにより、自社だけでは気づきにくいリスクや改善点を把握しやすくなります。
一方で製品やサービスを導入するだけでなく、それらを継続的に運用・管理する体制の整備も欠かせません。具体的には、担当者や責任範囲の明確化、運用ルールの策定、定期的な点検・見直しといった取り組みが求められます。
こうした運用体制を含めて整備することで、制度で求められる水準に沿ったセキュリティ対策を継続的に実施でき、より安全な取引基盤の構築につながります。
5. 外部委託先を評価する
外部に業務を委託している場合、委託先の情報セキュリティ対策状況を定期的に確認し、評価しましょう。委託先との契約には、情報セキュリティに関する項目を明確に盛り込み、遵守すべき義務や責任範囲を整理しておきます。
また、取引先と連携してセキュリティ対策を強化することで、サプライチェーン全体におけるリスクの低減につながります。外部委託先を含めた体制の整備により、セキュリティ水準の標準化を目指せるでしょう。
自社と委託先の双方でセキュリティ対策の改善が進み、より安全な取引基盤を構築できます。
セキュリティ対策評価制度の最新情報をチェックして必要な準備を進めよう
セキュリティ対策評価制度は、サプライチェーン全体のセキュリティ強化に貢献するだけでなく、自社のセキュリティ課題を見直す契機にもなります。
セキュリティ強化には時間もコストも必要ですが、制度開始前から計画的に準備を進めることで、認定取得をスムーズに進められます。結果として、取引機会の拡大や企業価値の向上にもつながるでしょう。
制度の内容や評価基準は今後もアップデートされる可能性があるため、経済産業省の最新情報を定期的に確認し、自社の現状把握と改善を継続してください。
JBCCでは、企業のセキュリティ課題の可視化だけでなく、具体的な対策となるセキュリティサービスの導入・運用支援、インシデント対応まで、幅広いサービスを提供しています。セキュリティ対策評価制度への対応も支援可能です。制度開始に向けて確実に準備を進めたい企業は、ぜひご相談ください。
製品・サービス
マネージドサービス for CASB Plus
各種生成AIサービスのリスク詳細や社員の利用状況を可視化し、DLP機能で機密情報のキーワードを検出してアップロード遮断を行うことで、安全な利用を促進します。
詳細を見る
おすすめ
見逃し配信
資料ダウンロード
企業のIT活用をトータルサービスで全国各地よりサポートします。
JBCC株式会社は、クラウド・セキュリティ・超高速開発を中心に、システムの設計から構築・運用までを一貫して手掛けるITサービス企業です。DXを最速で実現させ、変革を支援するために、技術と熱い想いで、お客様と共に挑みます。