Skip to content
Image of Supply Chain Evaluation System
6 min read

「サプライチェーン強化に向けたセキュリティ対策評価(格付け)制度」とは? 経済産業省の最新ガイドラインを基にわかりやすく解説

「サプライチェーン強化に向けたセキュリティ対策評価(格付け)制度」とは?
経済産業省の最新ガイドラインを基に分かりやすく解説

経済産業省は新たな評価制度として、セキュリティ対策評価(格付け)制度の導入準備を推進しています。この制度では大手事業者だけでなく、そのサプライチェーンを構成する取引先などの事業者も評価対象としています。本記事では、セキュリティ対策評価(格付け)制度の概要について解説します。

目次

 

サプライチェーン強化に向けたセキュリティ対策評価制度の概要

経済産業省が推進するサプライチェーン強化に向けたセキュリティ対策評価制度は、特に日本の企業にとって重要な施策です。これは、サプライチェーンに関わる企業がサイバーセキュリティリスクを効果的に管理し、強化するための評価制度であり、サイバー攻撃や不正アクセス、情報漏洩などのリスクに対して、企業がどのように対策を講じているかを評価・監視することを目的としています。

以下は、経済産業省が提唱している「サプライチェーンセキュリティ対策評価制度」に関する主な内容です。

サプライチェーンのためのセキュリティガイドライン

経済産業省はガイドラインを策定しおり、企業に対してサプライチェーンにおけるセキュリティ対策を強化するための指針を示しています。これに基づき、企業はサプライチェーンにおける各段階でセキュリティ対策を実施し、リスクの特定や評価を行う必要があります。

セキュリティ対策に関する自己評価

企業は、サプライチェーンに関するセキュリティ対策の自己評価を定期的に実施し、その結果を報告することが求められます。自己評価の結果は、経済産業省が定めた評価基準に基づいて評価され、企業のセキュリティ体制の改善が促進されます。

外部監査と評価

企業が実施したセキュリティ対策が適切であるかを、外部の第三者機関による監査を通じて評価することも検討されています。企業のセキュリティ対策が適切であることが可視化されれば、サプライチェーン内は勿論のこと、社会的にも信頼を得やすくなり、取引先との信頼関係を強化することができます。

 

サプライチェーン強化に向けたセキュリティ対策評価制度における評価段階

現時点(2025年4月)ではまだ確定されていませんが、経済産業省及びIPA(情報処理推進機構)が発表している資料では以下のような三段階での評価(★3~★5)が想定されています。

subject-of-security-measure-evaluation

(出典)
サプライチェーン強化に向けたセキュリティ対策評価制度の構築について
(2024年7月12日 情報処理推進機構セキュリティセンター)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/pdf/001_05_00.pdf

三つ星(★3)

 

  • 段階の考え方:現場レベルや部分的なレベルでのセキュリティ対策が実践されている
  • 対象として想定する事業者:サプライチェーンを形成するすべての企業等
  • 対策セットの考え方:上記に該当する企業等が、最低限実装すべきセキュリティ対策の水準
  • 実施状況の評価・確認方法:自己適合宣言(社内外の登録セキスペ等専門家による確認)

 

四つ星(★4)

 

  • 段階の考え方:自社に合わせたセキュリティ対策の組織的・継続的な実施・改善(PDCA)がなされている
  • 対象として想定する事業者:産業界を代表・牽引する立場の企業等(それを目指す企業等を含む)のサプライチェーンにおいて重要な機能・役割等を担うサプライヤー企業
  • 対策セットの考え方:上記に該当する企業等が、標準的に目指すべきセキュリティ対策の水準
  • 実施状況の評価・確認方法:第三者評価

 

五つ星(★5)

 

  • 段階の考え方:サイバー空間上のリスクを適宜適切に把握し、合理的な対策を実施、継続的改善がなされている
  • 対象として想定する事業者:産業界を代表・牽引する立場の企業等(それを目指す企業等を含む)のサプライチェーンにおいて特に重要な機能・役割等を担うサプライヤー企業等
  • 対策セットの考え方:上記に該当する企業等が、現時点で到達点として目指すべきセキュリティ対策の水準
  • 実施状況の評価・確認方法:第三者評価

 

また、三つ星(★3)及び四つ星(★4)においては、評価時に求められる具体的な項目案が公表されているので、将来に備えて目を通しておくのも良いかもしれません。
以下が、評価時の要求事項をまとめた表のURLです。

【参考資料1】 ★3・★4要求事項・評価基準案一覧
(経済産業省、2025年2月28日 サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ事務局 発布)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/pdf/004_s01_00.pdf

 

このように、経済産業省はサプライチェーン全体でセキュリティ対策を強化し、企業がサイバーリスクを適切に管理できるよう支援するための取り組みを進めています。

 

あわせて読みたい記事:

経産省のセキュリティ対策評価(格付け)制度はいつから開始? 2025年4月時点で決まっているスケジュールをわかりやすく解説
https://cybersecurity.gftd.co.jp/ja/blog/security-measure-evaluation-schedule

 

経産省のセキュリティ対策評価(格付け)制度の対象者は? 星3以上が取れない場合の重大なデメリットをわかりやすく解説
https://cybersecurity.gftd.co.jp/ja/blog/subject-of-security-measure-evaluation

 

弊社へのお問い合わせは、下記の著者画像横のメールアイコンからお願いいたします
avatar

RELATED ARTICLES

Button Title
河崎純真 3 min read

ペネトレーションテストとは? 目的や結果の活用方法、脆弱性診断との違いを分かりやすく解説

ペネトレーションテストとは?  目的や結果の活用方法、実施プロセスや実施する上でのポイント、脆弱性診断との違いを分かりやすく解説
Start Reading
河崎純真 4 min read

ECサイトの脆弱性診断は義務化される?何をすればいい?ペナルティはある?担当者が知っておくべきポイントをわかりやすく解説

ECサイトの脆弱性診断は義務化される? 何をすればいい?ペナルティはある? 担当者が知っておくべきポイントをわかりやすく解説
Start Reading
河崎純真 3 min read

APT攻撃とは? APT攻撃の特徴や標的型攻撃との違いについて分かりやすく解説

APT攻撃とは? APT攻撃の特徴や標的型攻撃との違いについて分かりやすく解説
Start Reading

日本で最も信頼できるサイバーセキュリティの情報を発信します。