近年、企業が直面するサイバーセキュリティリスクは増大の一途を辿っています。
特に、セキュリティ対策が不十分な中小企業を踏み台とした「サプライチェーン攻撃」が増加しており、発注元企業は自社のセキュリティを守るためにも、取引先のセキュリティ対策を厳しくチェックする必要に迫られています。
こうした背景を受け、経済産業省はサプライチェーン全体のセキュリティレベル向上を目指し、新たな評価制度の運用開始を予定しています。
それが「サプライチェーン強化に向けたセキュリティ対策評価制度」です。
今回は2026年10月の運用開始が予定されているこの新制度について解説するとともに、制度開始に向けて企業が今から取り組むべき具体的な準備ステップについて詳しくご紹介します。
※本記事の内容や図表は、2025年4月時点で経済産業省から公開された「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」の情報を基に作成しています。
本制度の正式名称や詳細な内容は、今後変更または更新される可能性があります。
最新の情報につきましては、必ず経済産業省から公開される公式発表をご確認いただきますようお願いいたします
新制度開始に備えて、今から準備できることは?
新制度の運用開始が2026年10月に予定されている中、企業は今から何を準備すべきでしょうか。
ここでは、企業がサプライチェーンセキュリティマネジメントの観点から取り組むべき3つのステップを解説します。
ステップ① 公式情報の継続的なキャッチアップ
前提として、2025年度段階では制度はまだ「中間取りまとめ」の段階であり、今後も評価基準やスキームが変更される可能性があります。
そのため、経済産業省から発表される最新情報を定期的にチェックし、制度の最終決定内容を見逃さないようにすることが、新制度への準備の第一歩となります。
ステップ② 制度の対象範囲となる情報資産の棚卸しと可視化
新制度の対象となるのは、主に組織の「IT基盤」と「外部ネットワーク境界」の2つです。
これには、オンプレミス環境で運用されるものに加え、クラウド環境で運用されるものも含まれます。
1.企業のIT基盤
- 従業員が日常業務で使用するPC、スマートフォン、タブレット
- USBメモリなどの可搬媒体
- 社内サーバー、ファイルサーバーなど
2.外部ネットワーク境界
まとめると、「社内の情報システム環境全般」が対象となります。
いざ新制度が開始となった際に、「社内にどんなシステムがあり、誰がどのように管理しているのか」が不明確だと、対応が遅れてしまう可能性があります。
まずやるべきことは、制度の対象範囲となる自社の「情報資産」を正確に洗い出し、台帳などで管理できている状態にしておくことといえます。
例えば、
- 社内にはどのような情報システム(サーバー、業務システム等)が存在するか?
- 従業員はどのようなPC、スマートフォン、USBメモリを利用しているか?
- ネットワーク構成はどうなっているか?
といった観点で、情報資産を把握し一覧を作成することは、セキュリティ対策の基礎であるとともに、新制度対応の鍵となるでしょう。
ステップ③ 「星3」と「星4」の評価基準と自社体制の比較
新制度の大きな特徴は、その要求事項の多くが、既存の国際標準規格であるISMS(ISO/IEC 27001:2022)認証を参照している点です。
一言でいうと、「ISMS認証とセキュリティ対策評価制度は共通部分が多いと見られるため、ISMSの規格に沿った運用ができていることが、新制度開始に向けてのスタートダッシュのポイントとなる」といえます。
具体的には、中間取りまとめの中で示された「★3・★4要求事項案・評価基準案」を確認すると、星3では25項目のうち24項目・星4では44項目のうち42項目が、ISMS認証を参照しています。
このことから、ISMSの規格への準拠が、新制度対応の基礎的な準備になるといえるでしょう。
ISMS(ISO/IEC 27001:2022)を参照している要求事項の例
例えば、星4のガバナンスの整備における要求事項(案)では、以下のような項目がISMSを参照しています。
| ★4No. | 要求事項(案) | 参照ISMS |
| 1 | セキュリティに関する法令や、契約等に規定された事項を考慮し、社内ルールを策定、教育・周知すること。 | ISO/IEC 27001:2022 4.2,A.5.31 |
| 2 | セキュリティを担当する部署及び従業員を決定し、責任及び権限を割り当てること。 | ISO/IEC 27001:2022 5.3,A.5.2, A.5.4 4.4, A.5.4 |
| 3 | サイバー攻撃や予兆を監視・分析をする体制を整備すること。 | ISO/IEC 27001:2022 A.8.15, A.8.16 |
| 4 | 秘密保持契約又は守秘義務契約を規定し、遵守させること。 | ISO/IEC 27001:2022 A.6.5, А.6.6 |
| 5 | 自社のセキュリティ対応方針(ポリシー)を策定し、周知すること。 | ISO/IEC 27001:2022 5.2,7.3, A.5.1 |
| 6 | セキュリティ対策状況を定期的に棚卸し、見直しを行うこと。 | ISO/IEC 27001:2022 10.1,10.2 |
| 7 | 定期的に経営層へ対策実態に関する報告を行い、結果を対策の推進に反映すること。 | ISO/IEC 27001:2022 6.2,9.3,A.5.35 |
表:「★3・★4要求事項案・評価基準案」を元に電巧社が作成
これらの項目は、ISMS認証を取得・運用している企業であれば、すでに体制が整備されているはずの内容です。
ISMS認証の運用経験者であれば、「見たことがある」「具体的な取り組みの内容がイメージできる」という方も多いのではないでしょうか。
ISMSを参照していない項目は何を参照しているのか?
一方で、一部の要求事項(案)は、政府統一基準(令和5年度版)や自動車産業サイバーセキュリティガイドライン(自動車GL)などを参照しているものの、ISMS(ISO/IEC 27001:2022)は参照していません。
☆☆☆5.取引先と自社とのビジネス又は システム上の関係を把握すること
- 自社以外の組織(顧客・子会社・関係会社・クラウドサービス提供者 を含む取引先等)が管理・提供し、自組織の資産が接続している情報システムの一覧を作成していること
参考:CEA2.9.,A4.5. 自動車GL No.77(LV1)
☆☆☆☆8.取引先と自社とのビジネス又は システム上の関係を把握すること
- 機密情報を共有している取引先の一覧を作成していること
- 会社毎に取り交わす情報・手段(受発注の手段等、情報のやり取り)を一覧化していること
- 一覧表には取引に伴い授受/使用される情報資産とその取扱いを記載し、取引先と把握すること
参考:自動車GL No.70(LV1)
☆☆☆☆14.ネットワークの情報に関する一覧を作成すること
- 自社の情報機器が存在するネットワークを対象として、ネットワーク図を作成すること
参考:政府統一基準(和5年度版)5.2.2(1),5.2.3(1)自動車GL No.74(LV2)
※★3部分はISMSを参照
☆☆☆☆30.重要データを適切な場所に保管するようルールを定め、周知すること
- マルウェアによる被害を受けた場合に業務に支障をきたす重要デー タはパソコン以外の社内ネットワーク上の相対的に安全な区域にあるサーバに保管するようルールを定め、役員、従業員、社外要員(派遣社員等)、受入出向者を対象に周知すること
参考:自動車GL No.100(LV2)
上記は一例ですが、これらの参照項目についても、現在の組織内の対策との見比べを行い、不足している点をあらかじめ把握しておくことが重要といえます。
補足:ISMSに準拠した対応は星5のベンチマークにも
「中間取りまとめ」の中で、星5の具体的なあり方について下記のように言及されています。
★5段階では、組織におけるリスクベースの改善プロセスを整備した上で、システムへの具体的な対策実装が必要であり、ISMS適合性評価 制度との整合に配慮しつつ、2025年度以降具体的なあり方等を検討する予定
星5の基準・評価スキームは2025年度段階では検討中ですが、「中間取りまとめ」で示されている指針としては、星5段階でもISMSへの準拠が一定有効であると考えられそうです。
ここまで、新制度と、ISMSをはじめとした既存の制度や基準との関連性について解説してきました。
ここからは、「ISMSへの準拠」により着目し、新制度の開始に向けた「あるべきISMSの姿」について解説していきます。
新制度対応の鍵は、「形骸化」したISMS運用からの脱却
ISMS認証を取得している企業は新制度への対応において有利だと考えられますが、「審査のためだけに形骸化したISMS認証の運用」では、新制度にスムーズに対応するのが難しい可能性があります。
新制度は、サプライチェーン全体の実効的なセキュリティ対策水準の向上を目的としているため、実態と乖離し形骸化しているISMS運用では、基準をクリアすることが難しくなると考えられます。
このようなISMSになっている企業は要注意
1.認証維持が目的のISMS
・維持・更新審査さえクリアすればいいと審査前に最低限の対応しかしていない。
・審査対応で手一杯、セキュリティ向上に貢献していない。
2.実態と乖離したISMS
・情報負産・リスクの把握漏れ
・資産・リスク・対策が紐づいていない
・業界・業態・規模に合っていない管理体制
形骸化したISMSとは、本来の目的である情報セキュリティマネジメントの維持や高度化ではなく、「認証の維持・更新審査に通過すること」が目的となってしまっている状態を指します。
具体的には、以下のような問題が見られます。
- 維持・更新審査の直前に、慌てて1年分の記録を作成する
- 情報資産台帳が更新されておらず、実態とルールが乖離している
- 定めたルールが実際に守られているか、有効に機能しているかを定期的にチェックしていない
- 情報資産、リスク、リスク対策が適切に紐づいて管理されていない
新制度への準備として、そして本質的なセキュリティ強化のために、ISMSに準拠した運用が「実態として機能しているか」を見直すことが重要といえます。
ISMSの運用を利用して実効性のあるDXや体制の構築へ
「セキュリティマネジメントの重要性は理解しているが、審査に向けた文書の更新で手一杯」
「運用の仕組みやルール自体を改善したいが、知見がなく取り組める自信がない」
こうした理由で、ISMS運用が形骸化してしまっている企業様も少なくありません。
WordやExcelによるアナログな台帳管理やリスクアセスメントは、ご担当者様の負担を増やし、本質的な対策に時間を割けない原因となりがちです。
こうした課題を解決し、セキュリティマネジメント業務を効率化・高度化することを目的としている様々なツールがありますので、自社の事情を鑑みて採用することも一つの手段です。
ISMS認証やPマークの取得、維持・運用を自動化・効率化し、認証を取得されている企業様はもちろん、ISMS(ISO/IEC 27001:2022)に準拠した体制構築のためにもご利用いただけます。
従来のExcelやWordによるアナログな運用を大幅に削減し、実効性のあるセキュリティ体制の構築をサポートしています。
現在、色々なツールがありますが主に下記の機能を実装しています。
- リスクアセスメントの効率化と高度化
情報資産を入力すると、想定されるリスクやリスク対策が自動で提案。これにより、「情報資産・リスク・リスク対応」がすべて紐づいた状態で管理 - 文書管理の自動化と一元管理
資産やリスクなどの変更に伴う文書の更新が必要な場合でも、一箇所変更するだけで、該当箇所へ自動反映 - 定期的な監視・測定、従業員教育もフォロー
ISMSにおけるマネジメントシステムの定期的な監視・測定、担当者へのタスクの割り振りやリマインド。ツール内に情報セキュリティ教育のテンプレート教材が実装されており、テストの受講・進捗管理も可能
新制度の運用開始に向けて、今から実効性のあるISMS体制の構築に取り組んでいかれてはいかがでしょうか?
この記事の著者:石渡 克美(Ishiwata katsumi)
電巧社 SI事業部 副事業部長兼セールスディレクター
