経済産業省は新たな評価制度として、セキュリティ対策評価(格付け)制度の導入準備を推進しています。この制度では大手事業者だけでなく、そのサプライチェーンを構成する取引先などの事業者も評価対象としています。本記事では、セキュリティ対策評価(格付け)制度の概要について解説します。
目次
経済産業省が推進するサプライチェーン強化に向けたセキュリティ対策評価制度は、特に日本の企業にとって重要な施策です。これは、サプライチェーンに関わる企業がサイバーセキュリティリスクを効果的に管理し、強化するための評価制度であり、サイバー攻撃や不正アクセス、情報漏洩などのリスクに対して、企業がどのように対策を講じているかを評価・監視することを目的としています。
以下は、経済産業省が提唱している「サプライチェーンセキュリティ対策評価制度」に関する主な内容です。
経済産業省はガイドラインを策定しおり、企業に対してサプライチェーンにおけるセキュリティ対策を強化するための指針を示しています。これに基づき、企業はサプライチェーンにおける各段階でセキュリティ対策を実施し、リスクの特定や評価を行う必要があります。
企業は、サプライチェーンに関するセキュリティ対策の自己評価を定期的に実施し、その結果を報告することが求められます。自己評価の結果は、経済産業省が定めた評価基準に基づいて評価され、企業のセキュリティ体制の改善が促進されます。
企業が実施したセキュリティ対策が適切であるかを、外部の第三者機関による監査を通じて評価することも検討されています。企業のセキュリティ対策が適切であることが可視化されれば、サプライチェーン内は勿論のこと、社会的にも信頼を得やすくなり、取引先との信頼関係を強化することができます。
現時点(2025年4月)ではまだ確定されていませんが、経済産業省及びIPA(情報処理推進機構)が発表している資料では以下のような三段階での評価(★3~★5)が想定されています。
(出典)
サプライチェーン強化に向けたセキュリティ対策評価制度の構築について
(2024年7月12日 情報処理推進機構セキュリティセンター)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/pdf/001_05_00.pdf
また、三つ星(★3)及び四つ星(★4)においては、評価時に求められる具体的な項目案が公表されているので、将来に備えて目を通しておくのも良いかもしれません。
以下が、評価時の要求事項をまとめた表のURLです。
【参考資料1】 ★3・★4要求事項・評価基準案一覧
(経済産業省、2025年2月28日 サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ事務局 発布)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/pdf/004_s01_00.pdf
このように、経済産業省はサプライチェーン全体でセキュリティ対策を強化し、企業がサイバーリスクを適切に管理できるよう支援するための取り組みを進めています。
あわせて読みたい記事:
経産省のセキュリティ対策評価(格付け)制度はいつから開始? 2025年4月時点で決まっているスケジュールをわかりやすく解説
https://cybersecurity.gftd.co.jp/ja/blog/security-measure-evaluation-schedule
経産省のセキュリティ対策評価(格付け)制度の対象者は? 星3以上が取れない場合の重大なデメリットをわかりやすく解説
https://cybersecurity.gftd.co.jp/ja/blog/subject-of-security-measure-evaluation
弊社へのお問い合わせは、下記の著者画像横のメールアイコンからお願いいたします