中堅・中小企業を踏み台としたサイバー攻撃が相次ぐ中、経済産業省は2026年度にも「サプライチェーン強化に向けたセキュリティ対策(SCS)評価制度」を始動する。本特集では、取引要件として重要視される同制度の全体像と格付け取得に向けた実務上の要点を解説し、提案に生かすためのポイントを整理する。

適切な対策でサプライチェーン全体のセキュリティ水準を向上

マルウェア感染や不正アクセスなどのセキュリティインシデントが頻発する中、あらためて注目されているのが中小企業のセキュリティ対策である。経済産業省が情報処理推進機構(IPA)を通して2024年10~12月に全国の中小企業4,191社を対象として実施した調査では、自社のセキュリティインシデントが取引先にも影響を与えた事例が約7割に及んだ。また、昨年秋に発生した通販大手のランサムウェア被害は、業務委託先に付与したアカウントを窃取されたことが攻撃の起点になったとみられている。

発注企業はサプライチェーン全体のセキュリティを高めるために、各社が独自のセキュリティ水準を定め、受注企業に対応を求めるケースが多い。しかし、それは中小企業を中心とする受注企業にとって、発注企業ごとに異なる要求事項への対応の煩雑さが増すために大きな負担になっていた。発注企業にとっても、客観的な基準が存在しない状況は受注企業のセキュリティ対策が見えにくく、要求事項への対応の的確性を担保することが難しい状況を生み出していた。

こうした中、受注企業に対し、重要度に準じた適切な対応を求める新たな仕組みとして整備が進むのが、経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」である。2026年度中の運用開始に向け、最終調整が進むSCS評価制度のメリットをあらためて整理すると、以下のようになる。

●受注企業のメリット
・セキュリティ対策の範囲・レベルの明確化
・発注企業に対するセキュリティ対策の説明の容易化

●発注企業のメリット
・取引先に求めるセキュリティ対策レベルの決定や実施状況の把握の容易化
・取引先の適切な対策の実施による、サプライチェーンに起因するセキュリティリスクの低減

また、格付けによる客観的な評価制度は、サプライチェーン企業だけでなく、多くの企業からも注目を集め、セキュリティに関連する製品・サービスの市場拡大も期待されている。

制度の目的

事業継続・データ保護・不正アクセスのリスクを前提にIT基盤を評価

SCS評価制度が想定するリスクは大きく以下の三つに分類できる。
①サプライチェーン企業へのサイバー攻撃による調達部品の供給遅延・停止、クラウドサービスへのサイバー攻撃に起因する事業継続リスク
②サプライチェーン企業やマネージドサービス、クラウドサービスへのサイバー攻撃に起因する機密情報の漏えい・改ざん
③サプライチェーン企業やマネージドサービスなどを踏み台とした不正侵入リスク

制度の適用範囲には、受注企業のIT基盤(メールサーバー、Webサーバーなどの公開基盤や認証基盤を含む)やファイアウォール、ルーター、VPN機器などの適用範囲を定義する外部ネットワーク境界のほか、受注企業と発注企業が共用するクラウドサービスやホスティングサービスが含まれる一方、製造装置の制御(OT)システムなどは含まれない。

想定するリスクの範囲

SCS評価制度の運用は、「発注企業がサプライチェーンにおける重要度に見合った対応を受注企業に求める」という流れが想定されている。サプライチェーンは重層的な構造を持つことが一般的だが、同制度では、各階層で発注企業が受注企業に対応を求めることが基本的な考え方になる。

サプライチェーンにおける重要度に応じて対応水準を設定

SCS評価制度が注目される大きな理由は、企業のセキュリティ対策を★3~★5で格付けすることである(★5の詳細は現在検討中。★3、★4の運用を通して具体化予定)。では、★3~★5はどのような対応レベルを想定しているのだろうか。★3は「すべてのサプライチェーン企業が最低限実装すべきセキュリティ対策」であり、★4はそれに加え、取引先がデータ・システム保護に寄与する対策や自社の位置づけに適合したサプライチェーン強靭化策を講じることが基本的な考え方になる。

具体的に見ていくと、★3では以下の達成水準が設定されている。
・組織内の役割と責任が定義されている。
・一般的なサイバー脅威への対処を念頭に、自社IT基盤への初期侵入、侵害拡大などへの対策が講じられている。
・インシデント発生時に、取引先を含む社内外関係各所への報告・共有に必要な最低限の手順が定義、実施されている。

そのうえで、★4ではさらに以下の各項目の達成が求められることになる。
・取引先のシステムやデータを含む内外への被害拡大や攻撃者の目的遂行といったリスクを低減する対策が講じられている。
・事業継続に向けた取り組みや取引先の対策状況の把握など、自社の位置づけに適合したサプライチェーン強靭化策が講じられている。

さらに、★5はそれらに加え、より高度なサイバー攻撃を想定し、現時点のベストプラクティスに基づく対策を実行することなどが想定されている。

評価段階の考え方

ここからも見てとれるとおり、上位の格付けには下位の要求事項が包含されている点もSCS評価制度の特色の一つだ。それにより、★3を取得しなければ★4を取得できないというものではなく、サプライチェーンにおける役割などに応じて段階を選択して評価を取得することが可能だ。
なお、★1、★2に相当する格付けは、IPAが運用する「セキュリティアクション制度」の「一つ星」「二つ星」の評価と同様である。自己申告を前提とし、中小企業のサイバーセキュリティ啓発を目的としたセキュリティアクション制度の格付けは、2017年の運用開始以来、補助金申請の要件に採用されるなど、活用が進んでいる。

次のページへ