制度の概要
経済産業省は2025年3月に「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築方針を公表しました。企業のサイバーセキュリティ対策の実施状況を★1〜★5の5段階で可視化し、サプライチェーン全体のセキュリティ水準を向上させることを目的としています。
取引先のセキュリティ対策状況を客観的に評価・比較できる仕組みであり、サプライチェーン全体でのセキュリティガバナンスの強化が期待されています。
5段階の評価レベル
| レベル | 概要 | 想定される対象 |
|---|---|---|
| ★1 | 最低限の基本対策 | すべての企業 |
| ★2 | 組織的な対策の実施 | 中小企業を含む一般企業 |
| ★3 | 標準的なセキュリティ対策 | サプライチェーンの重要な位置を占める企業 |
| ★4 | 高度なセキュリティ対策 | 重要インフラ関連企業等 |
| ★5 | 最高水準のセキュリティ対策 | 先進的なセキュリティ体制を持つ企業 |
スケジュール
2026年度からの運用開始が予定されており、制度の詳細設計が進められています。
企業の準備
- 自社のセキュリティ対策の現状を把握し、目標とするレベルを決定
- サイバーセキュリティ経営ガイドラインやCIS Controls等の既存フレームワークに基づく対策を推進
- サプライチェーン上の取引先に対するセキュリティ要件の整理
まとめ
サプライチェーンセキュリティ評価制度は、企業のセキュリティ対策を★1〜★5で可視化する経産省の新制度です。2026年度の運用開始に向け、現状のセキュリティ対策の棚卸しを進めましょう。