【解説】サプライチェーン強化に向けたセキュリティ対策評価制度「中間取りまとめ」のポイントと今後の進め方

経済産業省は、サプライチェーン全体の安全性を高めるため、企業のセキュリティ対策状況を「星（★）」の数で可視化する新たな評価制度の導入を進めています。

サイバー攻撃の手口が巧妙化する中、大企業だけでなく、関連する中小企業も含めた包括的な対策が求められているためです。

2026年度から本格的な運用が予定されており、今後は企業間の取引において「★3以上の取得」を条件とするケースが増加する見込みです。

新制度を活用すれば、各社独自のセキュリティチェックシートに対応する手間を省ける一方、未取得のままでいると取引を見直されるリスクも生じます。

本記事では、新しい評価制度の仕組みやスケジュールを整理し、本格運用に向けて今から進めておきたい具体的な準備について詳しく解説します。

1.中間取りまとめで定義された新たな「評価制度（★の仕組み）」

⑴評価の対象に含まれるもの

本制度の評価対象は、企業の事業活動全体におけるセキュリティ対策です。特定のIT製品やソフトウェアの脆弱性を評価するものではなく、組織としてのガバナンス体制、資産管理、インシデント対応能力などが包括的に評価されます。 大企業だけでなく、サプライチェーンを構成する中小企業も対象となり、それぞれの規模や重要度に応じた対策が求められます。

⑵制度の内容

評価制度は、以下の5段階（★1〜★5）のレベルで構成されます。

• ★1（一つ星）・★2（二つ星）
  IPA（情報処理推進機構）が実施している既存の「SECURITY ACTION」制度を活用します。★1は情報セキュリティ5か条への取組宣言、★2は自社診断の実施と基本方針の策定が要件です。
• ★3（三つ星）
  本制度で新たに定義される基準です。業種や規模を問わず、サプライチェーンに参加する全ての企業が最低限実施すべき対策（約25項目程度）を指します。原則として自己評価を行い、有資格者等の確認を経て登録される仕組みが想定されています。
• ★4（四つ星）
  標準的に目指すべきレベルです。★3に加え、より高度な対策（約44項目程度）が求められます。第三者による審査や評価が必要となる見込みです。
• ★5（五つ星）
  最上位の到達点であり、特に重要度の高いインフラ事業者や、高度な機密情報を扱う企業向けのレベルです。

⑶ISMS（ISO/IEC 27001）やその他の制度との関係性

これまでのISMS（情報セキュリティマネジメントシステム）やプライバシーマークは、取得に多大なコストや工数がかかるため、中小企業にはハードルが高いという課題がありました。 今回の新制度は、ISMS等を取得していない企業でも、★3や★4を取得することで、一定のセキュリティレベルを証明できるように設計されています。なお、既にISMS認証を持っている企業については、★4相当として扱うなどの整合性も検討されています。

参考元：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめを公表しました」

2.評価制度により企業間の取引はどう変わるのか

この制度が導入されると、企業間の受発注における取引条件が大きく変わる可能性があります。

まず、発注元企業（バイヤー）が調達基準として「★3以上の取得」を条件にするケースが増加します。これまでは、取引開始時に独自のセキュリティチェックシート（Excel等）を送り合い、個別に確認する非効率な作業が発生していました。しかし、今後は「★3取得済み」というステータスを確認するだけで、一定の安全性が担保されていると判断できるようになります。

また、受注側（サプライヤー）にとっては、★を取得することで自社の信頼性を対外的にアピールできます。特に中小企業においては、★3や★4を取得していることが競合他社との差別化要因となり、新規顧客の開拓や取引継続の武器になります。逆に言えば、★を取得していない企業は、サプライチェーンから排除されるリスクが高まることを意味します。

3.各評価スキームの今後のスケジュールと運用開始までの流れ

経済産業省の中間取りまとめによると、2026年度（令和8年度）からの本格運用開始を目指して準備が進められています。

⑴★3・★4関連

★3および★4については、2025年度中に具体的な評価項目やガイドラインが確定する予定です 。その後、2026年度（令和8年度）中の運用開始に合わせて、順次受付や審査が開始される見込みです。★3は自己評価をベースとする仕組み、★4は第三者評価を必要とする仕組みとして検討が進められています。

⑵★5関連

★5は、より高度なセキュリティ要件が求められる分野（重要インフラや防衛等）を対象としています。国との取引ルールである政府調達基準等との整合性を踏まえつつ、段階的に詳細が詰められる予定です。

⑶その他

制度の本格導入に向け、2025年度（令和7年度）には実証事業等を通じて詳細な制度設計が行われる予定です。そこで得られた知見や課題を反映させた上で、2026年度からのスムーズな運用開始を目指す流れとなっています。

参考元：「（別紙1）サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ（本文）」[PDF]

4.中間取りまとめを踏まえ今から企業が準備しておくべきこと

2026年の制度開始直前に慌てないよう、今から計画的に準備を進めることが重要です。

⑴情報システム部門（情シス）の体制強化と環境整備

評価制度では、ログ管理やアクセス制御、資産管理といった技術的な管理策が問われます。専任の担当者が不在であったり、兼務で手一杯な状態では、これらの要件を満たす運用を維持することは困難です。

まずは、社内のIT環境を正確に把握し、然るべきセキュリティ設定や監視が行えるよう、専門家による支援やアウトソーシングの活用を視野に入れて、情報システム部門の機能を強化しておくことが重要です。

⑵脆弱性診断によるセキュリティホールの可視化

サイバー攻撃の入り口となる「弱点」を放置したままでは、いくら制度対応を進めても本末転倒です。

定期的な「脆弱性診断」を実施し、サーバーやネットワーク機器、Webアプリケーションに潜むリスクを洗い出しておきましょう。現状の脆弱性を把握し、優先順位をつけて改修を進めるプロセスは、評価制度におけるリスク管理の観点でも重要な要素になると考えられます。

⑶ISMS構築による管理フレームワークの確立

今回の制度は、ISMSとの整合性を図る方向で検討が進められています。

そのため、今のうちからISMS認証取得に取り組むことは、セキュリティ管理の強固な「フレームワーク（枠組み）」を社内に構築する有効な手段となるでしょう。ISMSの運用ルールが定着していれば、新制度の★3や★4の要件にもスムーズに対応できる体制が整いやすく、二重の手間を抑えながら対外的な信頼性を向上させることが期待できます。

当社では、ISO・Pマークの認証取得・運用支援、脆弱性診断などをトータルでサポートできるコンサルティングサービスを提供しております。

サプライチェーン全体を強靭化し、ビジネスの成長と信頼性の確保を目指しましょう。

また、現在すでに各取引先に対して独自のセキュリティチェックシートの対応を求められている方へ、コンサルタントによる対応サポートプランもございます。

もし上記で気になる点がございましたら、ぜひ無料相談にお問合せください。

5.まとめ

経済産業省が推進する新たなセキュリティ対策評価制度は、今後の企業間取引の条件を大きく変える可能性があります。

2026年度の本格運用を見据え、自社の状況に合わせて「★3」以上の取得を目指すことが、ビジネスを継続・拡大するうえでのひとつの目安となります。

制度が始まってから焦らないためにも、社内のIT環境の把握や脆弱性の可視化、情報システム部門の体制強化を今のうちから少しずつ進めておくことが大切です。

自社のみでの対応が難しい場合や、現在のセキュリティチェックシート対応に負担を感じている場合は、外部の専門家を頼ることも有効な選択肢となります。計画的に準備を整え、取引先から信頼される体制を築いていきましょう。