「取引先がサイバー攻撃を受けたようで、今、当社の業務もその影響を受けて止まってしまっています――」
ある朝、そんな報告を受けたら、あなたはどうしますか?
自社がどんなにセキュリティを強化しても、取引先や委託先の対策が十分でなければ、そこから被害が広がってしまうことがあります。
このような攻撃はサプライチェーン攻撃と呼ばれ、IPA(情報処理推進機構)の調査(※)でも、《サプライチェーンの弱点を突く攻撃》が組織にとっての脅威として上位に挙げられるなど、企業規模を問わず、いま最も注意すべきリスクの1つとなっています。
※出典:IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2026」
URL:https://www.ipa.go.jp/security/10threats/10threats2026.html
こうした背景を踏まえ、経済産業省は令和8年度末頃(2027年3月末頃)の運用開始を目標に、サプライチェーン全体のセキュリティ水準を底上げするための、新たな評価制度の検討を進めています。
本制度は、取引に必要なセキュリティ対策状況を共通の枠組みで整理することで、取引先のセキュリティ対策状況を確認・比較しやすくすることを目的としており、取引先選定等における参考情報として活用されることも想定されます。
「選ばれる企業」であり続けるために、いまから備えを始めましょう。
※本コラムは、経済産業省より公開されている下記資料の情報をもとに作成しています。なお、評価項目や諸条件等については、今後の検討・実証を経て変更される可能性があります。本記事の内容は、最終的な決定事項を保証するものではありません。最新の情報につきましては、今後公表される内容をご確認ください。
【参照資料】
・「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」(2025年4月公開)
URL:https://www.meti.go.jp/press/2025/04/20250414002/20250414002-2.pdf
・「サプライチェーン強化に向けたセキュリティ対策評価制度構築方針(案)」(2025年12月公開)
URL:https://www.meti.go.jp/press/2025/12/20251226001/20251226001-c.pdf
1. そもそも「サプライチェーン」とは?
サプライチェーンとは、原材料の調達から製品・サービスの提供に至るまでの、企業間のつながりや取引の流れのことで、ひとつの製品・サービスの提供に関わるすべての企業を指します。
たとえば、以下のような取引先はすべて、1つのサプライチェーンの一部です。
● 部品を納入する製造業者
● システムの開発・運用やメンテナンスを担うITベンダー
● データ保管や通信を担うクラウドサービス事業者
● 製品の保管・輸送を行う倉庫・物流会社
こうした企業同士が連携してビジネスを支えているからこそ、どこか1社が攻撃を受けると、その連携したシステムを通じて、関係する他の企業も芋づる式に被害を受ける可能性があるのです。
2. なぜ今、評価制度が検討されているの?
海外ではすでに、サプライチェーンセキュリティに関する第三者評価制度が導入されています。
これによって発注企業・受注企業ともにセキュリティ水準を共通の基準で確認でき、信頼できる企業を選びやすくなっています。
たとえるなら、食品における「安全マーク」や、建築物の「耐震基準」のように、企業のセキュリティにも共通の安心基準が設けられているイメージです。
《 海外の評価制度の例 》
2020年に米国国防総省が導入した、国防関連情報を扱う企業を対象とする、サイバーセキュリティの成熟度評価・認証制度。
2014年に英国政府が導入した一般企業向けの認証で、基本的なセキュリティ対策(5つの技術的要件)を満たしていることを証明する認証制度。
一方、日本ではこうした統一基準がなく、企業ごとにバラバラな対策を講じてきました。
そのため、
「自社はどこまで対策すればいいのか…」
「取引先ごとにバラバラな要求が来て、対応が大変…」
「取引先の対策が十分なのか判断しづらい…」
といった悩みを抱えつつも、明確な基準がないために十分な対策が進まない状態が続いてきました。
その結果、受注企業のセキュリティの弱点を突かれて不正侵入が発生し、発注企業のシステムや業務にまで影響が広がるといったケースが近年増えています。
こうした背景から、経済産業省はサプライチェーン全体のセキュリティ対策水準の向上を図るとともに、対策状況を確認しやすくする仕組み(可視化)の構築に向けて、本制度の検討を進めています。
3. どんな評価制度なの?
本制度は、企業のセキュリティ対策を「★3・★4・★5」の3段階で整理し、サプライチェーンにおける立ち位置に応じて求められる対策水準を整理し、その実施状況を可視化する仕組みとして検討されています。
この仕組みによって、取引企業同士が同じ目線でリスクを把握し、業務内容や役割に応じて必要な対策レベルをすり合わせやすくなることが期待されています。
さらに、本評価制度は一度評価を受けて完結するものではなく、有効期間を設けたうえで、維持・更新を通じて対策状況を継続的に確認していく考え方が示されています。
加えて、★3・★4を取得した企業については、取得企業名や所在地、更新回数、適用範囲などの情報を台帳に登録し、制度事務局において確認できる仕組みを構築する方向で検討されています。
つまり本制度は、単なる形式的な評価にとどまらず、セキュリティ対策が実際に運用され、継続的に改善されているかどうかを重視する仕組みとして設計されています。
《 セキュリティ評価レベル(★3・★4・★5)の概要比較表 》
| 項目 | ★3 | ★4 | ★5 |
|---|---|---|---|
| ① 想定される脅威 | 広く認知された脆弱性を悪用する一般的なサイバー攻撃 | サプライチェーン全体に影響する攻撃や、重大な情報漏えいにつながる攻撃 | 未知の手法も含む高度なサイバー攻撃 |
| ② 対策レベルの考え方 | 企業として最低限実施すべき、基本的な対策を整える段階(組織のルールづくり・管理体制、システムの基本防御など) | 標準的に目指すべき対策を整える段階(組織運営、システムの防御・監視、取引先管理、トラブル対応まで包括的に実施) | 国際基準に沿って自社のリスクを把握・改善しながら、現時点で最良の対策を整える段階 |
| ③ 達成すべき基準 | ・組織内での役割・責任が明確で、最低限の管理体制がある。 ・技術的な基本対策が一通り整っている。 ・トラブル時に社内外へ報告できる基本的な手順が整い、実際に使われている。 | ・組織的に整えた対策が実施され、継続的に改善・運用される体制がある。 ・自社・取引先への被害拡大を防ぐ対策がある。 ・事業継続や取引先管理など、自社の役割に応じたサプライチェーン強化策がある。 | ・国際基準に沿った管理体制(マネジメントシステム)が整っている。 ・適切なリスク評価に基づき、迅速な検知・対応とベストプラクティスに沿った対策が講じられている。 ・取引先への支援や共同訓練など、サプライチェーン全体のセキュリティを高める取り組みが行われている。 |
| ④ 評価スキーム | 専門家確認付き自己評価(自己評価結果を、社内外のセキュリティ専門家が確認・助言) | 第三者評価(指定委員会から指定を受けた評価機関が評価〔技術検証事業者による検証を含む〕) | 第三者評価(※詳細は令和8年度以降に検討される予定) |
| ⑤有効期限 | 1年 | 3年 | (※詳細は令和8年度以降に検討される予定) |
※出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」
URL:https://www.meti.go.jp/press/2025/12/20251226001/20251226001-c.pdf
4.発注企業・受注企業にどんな影響が?
本制度は、2社間の取引において、発注企業が受注企業に対し、業務内容に応じた適切な段階(★)を提示し、その実施状況を確認する運用が想定されています。
そのため、発注側・受注側のいずれにとっても重要な制度といえます。
本章では、本制度が発注側・受注側にどのように関わってくるのかを、次の3つのポイントから見ていきます。
着目ポイント① 取引先選定時の「共通指標」としての可能性
現時点では、本制度が公共調達や契約条件に必須となることは決まっていません。
しかし、企業のセキュリティ対策を示すための共通の枠組みが整うことで、
● 発注企業は、業務内容に応じて「取引先にどのレベルの対応を求めるか」を整理・提示しやすくなり、
● 受注企業は 「自社がどのレベルの対策を実施しているか」を客観的に説明しやすくなります。
そのため、将来的には、本評価制度をどの程度満たしているかが、取引先を選ぶ・取引先として選ばれる際の判断材料の1つとなる可能性があります。
着目ポイント② 第三者評価による「信頼できる体制づくり」
★4以上のレベルでは、指定された第三者評価機関が「実際に機能しているか」を確認する仕組みが検討されています。
つまり、《形だけでなく、本当に機能する体制かどうか》が問われます。
これにより、
● 発注企業にとっては「安心して任せられる取引先を選びやすくなる」
● 受注企業にとっては 「運用体制の強さを示し、他社との差別化につなげやすくなる」
といった効果が期待できます。
また、第三者の視点で運用状況を定期的に確認することで、対策の形骸化を防ぎ、継続的な改善につなげやすくなるとも予想されます。
着目ポイント③ いずれは国際的な参考指標となる可能性も
中間取りまとめ(※)では、英国のCyber Essentialsや米国のCMMCなど、海外制度との整合性や相互認証の可能性が検討課題として挙げられています。
もし、本制度が海外制度と整合性を持つようになれば、
● 発注企業は「海外企業を含めた取引先のセキュリティ対策水準を比較・把握する際の参考情報として」
● 受注企業は 「海外向けの取引においても、自社のセキュリティ対策水準を示すための参考指標として」
活用されるなど、国際取引における参考指標となる可能性も考えられます。
《まとめ:発注企業・受注企業が押さえておきたいポイント一覧》
| 着目ポイント | 発注企業が押さえておきたいポイント | 受注企業が押さえておきたいポイント |
|---|---|---|
| ① 「共通指標」としての可能性 | ・業務内容に応じて必要水準を設定しやすくなる ・サプライチェーン全体のリスクを下げやすくなる | ・評価レベルを示すことで安全性を客観的に説明しやすくなる ・体制を可視化することで選ばれやすくなる |
| ② 第三者評価による信頼性向上 | ・実際の運用状況を基に、安全性を確認しやすくなる ・信頼できる取引先を選定しやすくなる | ・第三者による裏付けで信頼度が高まりやすくなる ・運用の強さを示し、競合との差別化につながりやすくなる |
| ③ 国際的な参考指標となる可能性 | ・海外企業との比較・評価がしやすくなる ・国際調達基準への対応が進めやすくなる | ・海外向け取引で信頼性を示しやすくなる ・国際案件の獲得につながりやすくなる可能性 |
※本節は、背景整理として、経済産業省が公表している「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を参照しています。
5.既存のISOやNISTとの違いは?
本制度は、すでに多くの企業が採用しているセキュリティ基準であるISO/IEC 27001(ISMS)やNIST CSFなどを補完する形で検討されています。
経産省も、「★3」「★4」の要求項目案が自工会・部工会ガイドライン(JAMA/JAPIA)などと一定の整合性を持つことを示しており、これまでの取り組みを土台にしながら、段階的にセキュリティ水準を高めていくことのできる制度設計となっています。
ISMS・NISTと本制度を比較すると、双方には次のような共通点があります。
◯ いずれも 「情報資産を適切に守る仕組みづくり 」が目的
◯ 情報管理、アクセス制御、教育、更新管理などの基本対策は共通
一方で、対策の適用範囲や評価の視点には、次のような違いがあります。
● ISMS・NIST:自社内部の安全基盤を整えるための基準
● 本制度:取引先も含めたサプライチェーン全体の安全性を可視化・強化するための基準
ISMS・NISTで《社内の守り》を固め、新制度で《取引先まで含めた外側の守り》を強化することで、サプライチェーン全体を守ることのできるセキュリティ体制の実現に繋がると考えられます。
《 ISO・NIST と新制度の比較表 》
| 観点 | ISO/IEC 27001・NIST CSF | 本評価制度 |
|---|---|---|
| 目的 | 自社におけるセキュリティ管理体制の構築と、継続的な強化 | サプライチェーン全体のセキュリティ水準の底上げと可視化 |
| 対象範囲 | 社内のルールや運用体制(内部統制) | 取引先・委託先など、外部との関係を含むサプライチェーン全体 |
| 評価の視点 | PDCA等の改善サイクルに基づき、運用プロセスを継続的に改善していく | 実際の運用状況や成果を評価し、対策の有効性を客観的に示す |
| 評価方法 | 内部運用を中心に、必要に応じて第三者監査・評価で確認 | 自己評価+第三者評価で段階的に可視化 |
6.自社はどのレベルを目指せばいいの?
本制度は、一律に厳しい要求を課すものではなく、業務の重要度やリスクに応じた評価基準を割り当てる考え方が示されています。
現段階では、2つの主要なリスクに着目し、取引先に★3または★4を割り当てることが検討されているほか、必要に応じて適用範囲や要求水準等を調整する考え方が示されています(※★5については、令和8年度以降に具体化予定)。
※出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」
URL:https://www.meti.go.jp/press/2025/12/20251226001/20251226001-c.pdf
実際に制度が動き始めると、関係企業は 「求められる水準を満たしているかどうか」 を取引先から問われる場面が増えていくと考えられます。
そのため、今のうちから
● 発注企業: サプライチェーン全体のリスクを踏まえ、「どの業務に、どの程度の評価基準を求めることになるか」 を整理しておく
● 受注企業: 自社の現状を整理し 「要求されそうな評価基準に対して、どこが不足しているか」 を把握したうえで、 体制や運用プロセスの強化を進めておく
――といった準備を進めておくことが重要になります。
7.認証強化による入口対策 ~PassLogicで実現できること~
経済産業省の中間取りまとめでは、サプライチェーンを起因とする不正侵入や情報漏えいのリスクが増大していることが指摘されており、制度構築方針(案)では、★3・★4の評価基準の一部として、多要素認証(MFA)が実装されているかどうかを確認する項目が設けられています。
PassLogicは、知識・所有物・生体の認証3要素すべてに対応した多要素認証ソリューションです。
マトリックス方式の「PassLogic認証」をはじめ、9種類の認証方法を自由に組み合わせた多彩な多要素認証を提供します。
環境が変化した場合でも、状況に応じて認証方法を切り替えられるため、長期的な利用が可能です。
Microsoft 365をデバイスレスで認証強化できるほか、SSO連携、SASE/SSE/VPN、Windows OS端末の認証強化にも対応しています。
そのため、自社と取引先が共同で利用することを前提とした、受発注システムや在庫管理システム、SCMシステム、メンテナンス用VPN、といった自社ユーザーと取引先ユーザーが混在するシステムへの認証強化に最適なソリューションです。
【 PassLogicで実現できること 】
① パスワードレス認証:パターン認証のため、スピーディーな導入と低コストな運用が可能
② デバイス不要・ブラウザ完結:サプライチェーンに関わる全てのユーザーが利用できる。専用機器を配布する必要がなく、導入もスムーズ。
③ 管理者権限のアクセス制御・記録:運用ミスや内部不正を防ぐための管理機能を搭載。
④ ゼロトラスト対応:社内外を問わず、「常に検証する」前提でアクセスを制御。
▶ PassLogicの詳細を見てみる:PassLogic -パスロジック-|多要素認証ソリューション
8. まとめ|「自社を守る=つながる相手も守る」時代へ
攻撃者側の手段が増えている現代、セキュリティは「自社だけが気をつければいい」時代ではなくなりました。
これからは、サプライチェーン全体でリスクを減らす取り組みが求められます。
令和8年度末頃(2027年3月末頃)の制度開始を見据え、まずは★3レベルから着実に取り組むことが、取引の信頼と継続を支える第一歩です。
本評価制度への対応状況は、今後「取引を継続できるかどうか」を左右する要素にもなり得ます。
「選ばれる企業」であり続けるために、自社のセキュリティ体制を見直し、未来への備えを始めてみませんか?
最後までお読みいただき、ありがとうございました。
この記事を書いた人:
パスロジ株式会社 マーケティングチーム
〒101-0051 東京都千代田区神田神保町1-6-1 タキイ東京ビル7F
お問い合わせ https://passlogic.jp/inquiry/