サプライチェーン強化に向けたセキュリティ“格付け制度”で企業に求められることとは?
2025.10.7
経済産業省は、サプライチェーン全体のサイバーセキュリティの安全性を底上げする新たな仕組みとして「サプライチェーン強化に向けたセキュリティ対策評価制度」を、2026年度からスタートする予定です。
この制度では、すべての企業を対象として各企業のセキュリティ対策が3段階の評価区分で“格付け”されて、評価区分を取得できていないと仕事を受注できなくなるケースも出てくる恐れもあります。
この制度の概要や背景、そして企業に求められる対応について、MS&ADインターリスク総研でサイバーセキュリティのコンサルタントを務める青山昇司と角田悠樹にわかりやすく解説してもらいます。
流れ
- 「サプライチェーン強化に向けたセキュリティ対策評価制度」とは?
- サプライチェーンのサイバーセキュリティ対策強化の背景にあるのは?
- サプライチェーン攻撃の事例
- 企業が、今行うべきサイバーセキュリティ対策とは?
- “格付け制度”で評価区分を取得するには?
- 企業の競争力を高めるサイバーセキュリティ対策
「サプライチェーン強化に向けたセキュリティ対策評価制度」とは?
――経済産業省が2026年度からスタートする予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」の概要について教えてください。
リスクマネジメント第三部危機管理サイバーリスクグループ 上席コンサルタントの角田悠樹(左)と青山昇司(右)
青山)サプライチェーンの重要性を踏まえて、それぞれの企業がどういったサイバーセキュリティ対策を行う必要があるのかを示すとともに、その対策の取組レベルを“見える化”する仕組みです。
経済産業省は2025年4月に制度の概要を整理した「中間とりまとめ」※1を公表していて、その中では、取組レベルを「★3、★4、★5」の三段階※2の区分で評価するとしています。
※1 経産省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間とりまとめ」
https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html
※2 経済産業省によると、先行する自己評価制度の仕組み「SECURITY ACTION」で一つ星、二つ星の区分が設けられていることから、★3から始まる制度としている。
制度の狙いとしては、サプライチェーン全体のサイバーセキュリティ対策を強化することと、評価区分を取得した企業がビジネス活動においてプラスの評価を受けられるようにすることがあると考えています。
――制度の対象となるのは、特定の業種の企業だけなのでしょうか?
角田)すべての企業が対象となります。「中間とりまとめ」を検討する中では、業種を絞った制度にするかどうかの議論もあったようですが、サプライチェーンという特性上、複数の業種をまたがるケースもありますので、すべての企業を対象とする形になりました。
サプライチェーンのサイバーセキュリティ対策強化の背景にあるのは?
――経済産業省が今回の制度を設けようとしているように、サプライチェーンのサイバーセキュリティ対策の強化が求められているのには、どのような背景があるのでしょうか?
青山)サプライチェーンは、数珠つなぎのように企業が連携して、お客さまにサービスを提供します。近年、このサプライチェーンを構成する企業を狙う「サプライチェーン攻撃」と呼ばれるサイバー攻撃の危険性が高まっています。
大企業を標的とする攻撃者は、サイバー攻撃に対する“守り”が堅い大企業ではなく、サプライチェーンを構成する企業の中で “最も弱い企業”を狙って、本丸の大企業を攻撃する手法を取ります。
こうした攻撃からサプライチェーン全体を守るためには、関わりのあるすべての企業のサイバーセキュリティレベルを底上げする必要があります。ただ、これまでは、最低限どこまで対策を行えばリスクを軽減できるのかについて、標準的なものさしがありませんでした。
こうした状況を改善して基準を明確にしていく取組として、経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度」を作ろうとしているのです。
角田)サプライチェーンの一翼を担う協力会社からすると、複数の発注元がいるわけですが、それぞれの発注元から違った基準で「サイバーセキュリティ対策はできているか?」と確認されると、個々に対応・説明する負担が大きくなってしまいます。
協力会社は、セキュリティ対策に割けるリソースも少ない中小企業が多いので、今回の制度には、こうした企業の負担軽減につなげる側面もあります。
サプライチェーン攻撃の事例
――実際に発生したサプライチェーン攻撃の事例にはどのようなものがあるのでしょうか?
この先は「続きを読む」を押してください。
角田)2022年に大手自動車メーカーに部品を供給する協力会社が、サイバー攻撃を受けてシステム障害が発生し、大手自動車メーカーの日本国内すべての工場の稼働が停止する事案がありました。
この事案は、協力会社へのサイバー攻撃を受けて、大手自動車メーカーの製造にまで非常に大きな影響が出たことから、「サプライチェーン攻撃」が大きく注目されるきっかけになったと考えています。
2024年には、大手日用品メーカーが身代金要求型ウイルス「ランサムウェア」に感染し、商品の納期に遅れが生じて、販売店に影響が出る事案が発生しました。こちらのケースでは、販売店側は別の日用品メーカーに切り替えながら、お客さまへの販売を行うことができましたが、メーカー側はこの被害の影響で、日用品製造事業を含む部門のセグメント利益が40%以上減少したということです。
このようにサプライチェーン攻撃がひとたび起きると、影響範囲が広範かつ被害も甚大になってしまいます。
企業が、今行うべきサイバーセキュリティ対策とは?
――こうした状況を踏まえて、経済産業省の“格付け制度”が2026年度から始まるわけですが、サプライチェーン攻撃は今すぐにでも起きるかもしれません。企業が、真っ先に行うべきサイバーセキュリティ対策にはどのようなものがありますか?
角田)警察庁が取りまとめた「サイバー空間をめぐる脅威の情勢等(2025年3月警察庁公表)」という統計によると、ランサムウェア被害にあった企業の感染経路はVPN機器が55件、リモートデスクトップが31件と、全体に占める割合が8割を超えています。
ランサムウェア被害にあった企業・団体等へのアンケート調査の回答結果
出典:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」を元にMS&ADインターリスク総研で作成
これはどういうことかと言うと、VPN機器とリモートデスクトップも「外部から社内ネットワークや端末にアクセスするためのリモート接続手段」なのですが、外部と内部をつないでいる部分の脆弱性が狙われやすくなっているということです。
この原因から考える対策としては、VPN機器やリモートデスクトップについて脆弱性がないように最新のバージョンにアップデートしたり、パッチを適用したりしていくことが求められます。
青山)今すぐ行うべき対策として、私からは以下の2つを挙げたいと思います。
- クラウドサービスを活用する
- サイバー保険に加入する
クラウドサービスを活用する
サプライチェーンの一翼を担う中小企業がサイバー攻撃の対象として狙われやすくなっていますが、中小企業はサイバーセキュリティ対策に割けるリソースが限られているのが実情です。その意味では、クラウド上のサービスをベースに業務を行っていくのは、セキュリティ対策上、選択しやすいと考えています。
クラウドサービスを提供する事業者が必要十分なセキュリティを担保してくれている環境の中で業務を行い、自社の端末やサーバにできるだけデータを保存しないようにすることが大事なこととなります。費用面の制約などで、全ての業務をクラウドサービス上で行うのは難しい場合は、重要な業務や情報だけに絞ってクラウドサービス上でのみ取り扱うといった対応でも効果はあると考えます。
サイバー保険に加入する
現状、すべての企業がサイバー攻撃を受ける可能性が非常に高くなっているので、サイバー保険に加入して備えることも、特に中小企業にとっては重要になってきています。
自社のセキュリティ対策のレベルを向上させることはもちろん重要なのですが、リソースが限られている企業が、一気に組織全体の体制を整えたりシステムを構築したりすることは難しいと言わざるを得ません。万が一攻撃を受けた場合に被る損害と、攻撃を受ける可能性の高さを考えるとサイバー保険には必須で入っておくべき状況になっていると思います。
また、独立行政法人 情報処理推進機構(IPA)が推進する中小企業に対するサイバー攻撃への対処として不可欠なサービスをワンパッケージにまとめた「サイバーセキュリティお助け隊サービス」※3の活用も費用対効果が高くおススメです。
※3 サイバーセキュリティお助け隊サービス:https://www.ipa.go.jp/security/otasuketai-pr/
“格付け制度”で評価区分を取得するには?
――経済産業省の新たな制度の評価区分は、「★3」からスタートしていますが、現状そのレベルに達している中小企業は多いのでしょうか?
青山)コンサルタントとして現場で話を聞いている肌感覚では、ほとんどの中小企業が★3レベルに達していないと考えています。こういった中小企業が、2026年度に制度がスタートしてからも対策に本腰を入れなかった場合、近い将来、これまで受注できていた業務すら、評価区分を取得した他社に奪取されて失注してしまうといった本業への影響が出る恐れがあります。
冒頭に制度の狙いについて説明しましたが、今回の制度は、企業がどのような対策を行うべきなのかが明確になるとともに、各企業の取組レベルが“見える化”される仕組みです。つまり、契約時に発注側から求められれば、評価区分の取得の有無を明らかにしなければならなくなるということです。
このため、今後どういうことが想定されるかというと、少なくとも「★3」を取得していないと、発注元の企業から「取引をやめる」と通告される可能性が十分にあります。「★4」の取得はもう少し時間をかけてもよいと考えていますが、「★3」については早期に対応すべきです。
経済産業省は「中間とりまとめ」の公表に合わせて、「★3」と「★4」の取得に必要な要求事項・評価基準案※4をまとめていますので、これらを参考に取組を進めていく必要があります。
※4 経産省「★3・★4要求事項案・評価基準案」:https://www.meti.go.jp/press/2025/04/20250414002/20250414002-3.pdf
企業の競争力を高めるサイバーセキュリティ対策
――経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度」がスタートすると、企業はこれまで以上にサイバーセキュリティ対策に取り組む必要があるということですが、改めて企業がサイバーセキュリティ対策に取り組む意義について、どのように考えていますか。
角田)とかくサイバー攻撃などのリスクへの対応は、“守り”のイメージで語られがちですが、サイバーセキュリティ対策に取り組むことは、企業の競争力を高める“攻め”の手法でもあると考えています。
サプライチェーンが強固に構築できていればいるほど、それは企業価値の源泉に直結します。そのサプライチェーンに対するセキュリティレベルを向上させていくことで、企業価値も高めていき、安定的な成長につなげていくという観点を持って取り組んでいくことが求められていると思います。
サイバーセキュリティ対策に関してお気軽にご相談ください
記事で取り上げた「サプライチェーン強化に向けたセキュリティ対策評価制度」を含め、サイバーリスクへの対策を講じることは、もはや避けては通れない重要な課題です。サプライチェーンのサイバーセキュリティ対策強化をはじめ、お困りごとがありましたら、以下のフォームからお気軽にお問い合わせください。
