2026年開始！「サプライチェーン強化に向けたセキュリティ対策評価制度」とは？時期・費用・★レベル基準を徹底解説

1.「サプライチェーン強化に向けたセキュリティ対策評価制度」とは？

「サプライチェーン強化に向けたセキュリティ対策評価制度」とは、経済産業省が検討を進めている、サプライチェーン企業でのセキュリティ水準を段階的に定義し、可視化するための仕組みです。

この制度は、発注者と受注者（サプライヤー）の双方にとって大きな負担となっていた、個別のセキュリティ対策状況の把握や可視化を効率化し、サプライチェーン全体のリスクを統一的な基準で管理することを目的としています。

企業は、取引内容や重要度に応じて定められた「★」レベルの対策を実施し、その達成状況を評価・公表することで、セキュリティ水準の信頼性を高めることが可能になります。

2.「サプライチェーン強化に向けたセキュリティ対策評価制度」はなぜ必要なのか？

この制度が求められる最大の理由は、サプライチェーン全体のセキュリティリスクが増大していることにあります。

サイバー攻撃者は、防御が堅固な大企業を直接狙うのではなく、セキュリティ対策にリソースが限られる中小のサプライヤー企業を「踏み台」として攻撃するケースが常態化しています。サプライチェーン上のどこか一社が攻撃を受けると、その影響が連鎖的に発注元企業にも波及し、事業停止や重大な情報漏洩といった深刻な被害につながります。

現状、発注元企業が各取引先に対して独自のセキュリティチェックシートを用いて、取引先のセキュリティ対策の状況を確認するケースがあります。そのセキュリティチェックシートの内容が、取引先からすると高度なセキュリティ対策を求められていることもあり、社内の関連部署に確認する必要が発生し、場合によっては回答するために時間を要することもあります。

結果、発注元企業と各取引先の双方にとって大きなコストと労力がかかる工程になってしまっているのが、課題として出てきています。

本評価制度は、サプライチェーン企業に求められる対策を統一基準で明確化することで、以下の効果を生み出すために必要とされています。

• リスクの可視化と取引の円滑化
  取引先がどの程度の対策を講じているかを、発注企業が統一の指標（★レベル）迅速に把握できます。
• セキュリティ基礎体力の底上げ
  すべての企業が最低限達成すべき「セキュリティ基礎体力」（★3 Basic）を明確にすることで、業界全体の防御水準を向上させます。

3.「サプライチェーン強化に向けたセキュリティ対策評価制度」はいつ始まる？費用はかかる？

(1)開始予定時期

制度の運用開始は、2026年10月を予定されています。

それまでの期間は、制度運営の準備期間となり、2025年4月の中間取りまとめ後、2025年11月頃には★レベルに応じた要求事項が確定し、2026年1月〜9月で申請受付に向けた体制整備が進められることになります。

(2)費用

現時点で制度の公式な費用（評価機関への支払いなど）は確定していませんが、以下のことが想定されます。

★1・★2
（自己宣言）

既存の制度であるSECURITY ACTIONを活用して取得することができます。
★1は5項目の対策、★2は25項目の対策を実施した上でIPAのホームページ上で自己宣言する制度となっており、審査費用は発生しません。

★3 Basic
（自己評価）

主に自己評価が中心となるため、評価自体にかかる公的な費用は低い、またはかからない可能性があります。
ただし、要求事項の遵守状況を年に一度自己評価する際に専門家による助言プロセスが含まれるため、その費用は発生する可能性があります。

★4 Standard・★5
（第三者評価）

第三者評価が必要となるため、評価機関に対する審査費用が発生します。
これは、Pマークや各種認証制度と同様に、企業の規模や評価機関によって費用が変動することが想定されます。

【留意点】

費用は評価そのものだけでなく、評価水準を達成するためのセキュリティ製品の導入、情シス業務の強化、コンサルティング費用などが別途必要となります。

4.「サプライチェーン強化に向けたセキュリティ対策評価制度」の導入によるメリットとは？

本制度の導入は、サプライチェーンに携わるすべての企業に、単なる「義務」ではなく、以下のような大きなメリットをもたらします。

• 取引先への信頼性向上
  評価レベル（★）を取得することで、自社のセキュリティ対策状況を客観的・統一的な基準で示せます。これにより、取引先からの信頼を獲得し、ビジネスチャンスの拡大に繋がります。
• 経営リスクの低減
  想定される脅威に対して体系的に対策を行うことで、ランサムウェア攻撃などのサイバーリスクから自社を守り、事業継続性を高めます。
• 対策コストの最適化
  基準が明確になることで、過剰な対策や不足している対策を把握しやすくなり、対策費用を最適化できます。複雑な取引先管理コストの低減にも繋がります。

5.「サプライチェーン強化に向けたセキュリティ対策評価制度」の具体的な内容とは？

この制度は、企業が達成すべきセキュリティ対策の水準を、脅威レベルと組織体制の成熟度に応じて★3から★5までの3段階で区分しています。

評価スキームは、★3が「自己評価」、★4以上が「第三者評価」となる点が大きな特徴です。

(1)★3 Basic

「★3 Basic」は、サプライチェーンを構成するすべての企業が最低限達成すべき基礎的なセキュリティレベルとして位置づけられています。

対策の要求事項には、自社のIT基盤や資産の現状把握、不正アクセスに対する基礎的な防御、端末やサーバーの基礎的な保護などが含まれます。

評価は組織自身による自己評価で行いますが、有効期限を更新するためには年次で遵守状況の自己評価が必要で、専門家の助言を受けるプロセスも想定されています。

(2)★4Standard

「★4 Standard」は、より取引先との連携や継続的な改善を意識した対策を要求されます。

要求事項には、継続的改善に資するリスク管理体制の構築、インシデントからの復旧手順の整備、サプライチェーンにおける対策状況の把握などが含まれます。

評価は、認定機関から認定を受けた評価機関による第三者評価が必要となり、有効期間内（3年）は年次で自己評価を行い、更新時に再度第三者評価を受けます。

(3)★5

「★5」は、企業が到達点として目指すべき最も高度なセキュリティレベルです。

想定されるのは、より高度なサイバー攻撃への対応であり、自組織のリスクを適切に把握・マネジメントした上で、現時点でのベストプラクティスに基づいた対策を実行することが求められます。

詳細な評価基準は、★3・★4の精査を踏まえて今後具体化される予定です。

6.「サプライチェーン強化に向けたセキュリティ対策評価制度」の開始までに準備すること

制度の運用開始（2026年10月予定）まで時間があるように見えますが、セキュリティ対策は一朝一夕で完了するものではありません。

今すぐ以下の準備に着手することが、取引継続や企業価値の維持に繋がります。

(1)「★3 Basic」取得のために今すぐやるべきこと

すべての企業が目指すべき「★3 Basic」への対策は、自社のセキュリティ基礎体力の向上に直結します。

現状把握（ギャップ分析）

評価制度で求められるセキュリティ対策水準と自社の現状の対策状況を比較し、埋めるべきギャップを明確化します。

基礎対策の徹底

「★3 Basic」は、IPAが推進するSECURITY ACTION（一つ星・二つ星）からステップアップを促す入門的な位置づけとしても連携が想定されています。まずは、不正アクセス対策、端末保護、インシデント対応手順の整備といった基礎的な対策を徹底してください。

Pマークなどの認証取得

個人情報を扱う企業は、Pマーク（プライバシーマーク）の取得を通じて、組織的な情報管理体制を整えることが、セキュリティ対策水準向上の基礎となります。

(2)「★4 Standard」以上を目指す場合

取引先から高いレベルを求められる企業や、機密情報を扱う企業は、より高度な準備が必要です。

脆弱性診断の実施

システムの技術的な弱点を排除するため、脆弱性診断（セキュリティ診断）を定期的に実施し、サプライヤーを経由した攻撃の踏み台になるリスクを事前に排除します。

情シス業務の強化

専門知識を要するセキュリティ管理や対策の運用を担う情シス部門の業務強化が不可欠です。属人化の解消や、専門知識を持った人材の確保・育成が重要となります。

ロードマップの策定と実行

特定されたギャップを埋めるため、具体的な対策ロードマップを策定し、優先順位を明確にした上で段階的に実行します。

まとめ

「サプライチェーン強化に向けたセキュリティ対策評価制度」は、企業のセキュリティ水準を段階的に定義し、可視化するための仕組みです。

この制度は、サプライチェーン全体に影響を与えるのセキュリティリスクが増大しているために必要となっています。この制度ができると、以下の効果が期待されます。

• リスクの可視化と取引の円滑化
• セキュリティ基礎体力の底上げ

2026年10月に制度の運用開始予定です。

費用については確定していませんが、自己宣言か第三者評価かによって費用が発生する場合があります。

この制度は、セキュリティ対策の水準を、脅威レベルと組織体制の成熟度に応じて★で区分しています。

• ★3 Basic(自己評価)
• ★4 Standard(第三者評価)
• ★5(第三者評価で検討中)

運用の開始までに準備できることには、以下のようなことがあります。

• 現状把握（ギャップ分析）
• SECURITY ACTIONの宣言
• Pマークなどの認証取得
• 脆弱性診断の実施
• 情シス業務の強化
• ロードマップの策定と実行

ISO・Pマークの認証取得・運用支援、脆弱性診断などをトータルでサポートできるコンサルティングサービスを活用し、サプライチェーン全体を強靭化し、ビジネスの成長と信頼性の確保を目指しましょう。

また、当社では現在すでに各取引先に対して独自のセキュリティチェックシートの対応を求められている方へ、コンサルタントによる対応サポートプランもございます。

評価制度ができるまでに体制を整えたい方は、ぜひご相談ください。

ISO/Pマークの認証・運用更新を180時間も削減！
認証率100%の認証パートナーが無料問い合わせを受付中！

認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。

経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。

▼認証パートナーが削減できること(一例)

• マニュアルの作成・見直し：30時間→0.5時間
• 内部監査の計画・実施：20時間→2時間
• 審査資料の準備：20時間→0.5時間

認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

認証パートナーに無料で相談する