経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」構築について(2026年3月時点最新情報)
近年増加しているサプライチェーンを起因とするサイバーインシデントの発生により、委託先等、サプライチェーン全体で以下の課題が表面化しつつあります。
委託元企業
委託先におけるセキュリティ対策が可視化しづらく、要求事項(チェックリスト等)の適正性の担保も難しい
委託先企業
複雑なサプライチェーン下で様々な委託元から様々な要求事項を求められ、過度な負担につながっている(特に中小企業を中心に)
また、IPA(独立行政法人 情報処理推進機構)から発表されている「情報セキュリティ10大脅威 2026」では、【サプライチェーンや委託先を狙った攻撃】が8年連続で選出されています。
https://www.ipa.go.jp/security/10threats/10threats2026.html
経済産業省では、これらの課題に対して2026年度の制度開始を目標に、「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の構築を進めており、今回、同制度の構築方針が発表されました。
SCS評価制度は、2社間の取引契約等において、発注企業が、受注側に適切な段階の“★”を提示し、示された対策を促すとともに実施状況を確認することを想定しており、制度の活用促進を通じて、サプライチェーン全体でのセキュリティ対策水準の向上を図ることを目的としています。
3段階の水準のうち、★3と★4について、2026年度末頃の制度開始を予定しています。
★5段階では、本制度がISMS適合性評価制度と相互補完的な形態になるよう、具体的なあり方等が検討される予定です。
| ★3 | ★4 | ★5 [検討中] | |
|---|---|---|---|
| 想定される脅威 | 広く認知された脆弱性等を悪用する一般的なサイバー攻撃 | 供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃 機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃 | 未知の攻撃も含めた、高度なサイバー攻撃 |
| 対策の基本的な考え方 | 全てのサプライチェーン企業が最低限実装すべきセキュリティ対策:基礎的な組織的対策とシステム防御策を中心に実施 | サプライチェーン企業等が標準的に目指すべきセキュリティ対策:組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施 | サプライチェーン企業等がさらに目指すべき高度な対策:国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善工程を整備、システムに対しては現時点でのベストプラクティスの対策を実施 |
| 要求事項 | 26件 | 43件 | (今後検討) |
| 有効期間 | 1年 | 3年 | (今後検討) |
| 評価スキーム | 専門家確認付き自己評価 | 第三者評価 | 第三者評価 |
参考:サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針
EUでは2024年にサイバーレジリエンス法が成立し、2026年9月11日から脆弱性とインシデントの報告義務が適用開始されます。
国内でも、今後ますます重要性が高まる情報セキュリティ対策として、ISO27001及びISO27017の取得をご検討でしたら、弊社までお気軽にお問合せください。
https://techno-soft.co.jp/contact/