監修 山口卓也(NTT東日本)
編集 NTT東日本編集部
「サプライチェーン強化に向けたセキュリティ対策評価制度(セキュリティ対策評価制度)」とは、企業の情報セキュリティ対策状況を段階的に評価・可視化する制度です。サプライチェーン全体のセキュリティ強化を目的として検討が進められており、2026年度末頃の運用開始が予定されています。
評価取得を見据える企業にとっては、制度開始後に慌てて対応するのではなく、できる限り早い段階から準備を進めておくことが重要です。本記事では、セキュリティ対策評価制度の目的や導入の背景、評価の仕組みを整理したうえで、中小企業が今から準備すべきポイントについてわかりやすく解説します。
Summary
セキュリティ対策評価制度への対応、何から始めればいい?
おまかせサイバーみまもり セキュリティパッケージ パンフレット
Index
「サプライチェーン強化に向けたセキュリティ対策評価制度(セキュリティ対策評価制度)」とは、サプライチェーン※1に関わる企業の情報セキュリティ対策状況を段階的に評価し、その取り組みを可視化する制度です。評価・可視化のプロセスを通じて、取引に必要とされるセキュリティ対策の水準を明確にすることを目的としています。
企業間取引では、取引先ごとに求められる情報セキュリティ対策が異なり、企業の対策状況も外部から把握しにくいといった課題があります。こうした状況を踏まえ、特に中小企業でも取り組みやすい仕組みとして検討が進められているのです。
ここでは、制度の概要と、なぜ新たな評価制度が求められているのかについて解説していきます。
セキュリティ対策評価制度は、企業が実施している情報セキュリティ対策の状況を★の数による段階で整理し、その水準を取引先と共有できるようにする仕組みです。
企業間取引では、発注企業が受注企業に対して情報セキュリティ対策を求める場面が増えていますが、求められる対策内容がわかりにくいケースも少なくありません。この制度では、対策状況を段階的な評価として示すことで、企業のセキュリティ水準をわかりやすく共有でき、受注企業側も対応すべき対策内容を把握しやすくなります。
具体的には、発注企業と受注企業の取引契約において、発注企業が求める情報セキュリティ対策の評価段階(★)を提示し、その水準に沿って受注企業が対策を実施・確認していく形での活用が想定されています。こうした仕組みによって、企業ごとに求められる対策の水準を明確にしながら、サプライチェーン全体の情報セキュリティ対策水準を引き上げることが制度の狙いです。
新たなセキュリティ対策評価制度が検討されている背景には、サプライチェーンを起点としたサイバー攻撃※2の増加があります。近年は、大企業そのものを直接狙うだけでなく、情報セキュリティ対策が十分でない取引先や委託先を侵入口として攻撃を行い、そこから被害が広がるケースも見られるようになっています。
このような状況から、企業単体で対策を強化するだけでは十分とはいえず、取引関係にある企業を含めたサプライチェーン全体で情報セキュリティ対策の水準を高めていくことが重要とされているのです。
実際に、IPA(独立行政法人情報処理推進機構)が公表した「情報セキュリティ10大脅威 2026」でも、サプライチェーンや委託先を狙った攻撃は、組織にとって重大な脅威の一つとして第2位に挙げられています。
| 順位 | 組織向けの脅威 |
|---|---|
| 1 | ランサム攻撃※3による被害 |
| 2 | サプライチェーンや委託先を狙った攻撃 |
| 3 | AIの利用をめぐるサイバーリスク |
| 4 | システムの脆弱性を悪用した攻撃 |
| 5 | 機密情報を狙った標的型攻撃 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) |
| 7 | 内部不正による情報漏えい等 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) |
| 10 | ビジネスメール詐欺 |
出典:情報セキュリティ10大脅威 2026|独立行政法人情報処理推進機構
取引先も含めた情報セキュリティ対策が求められますが、企業間取引には従来、以下のような課題がありました。
企業間取引の課題
こうした状況を踏まえ、対策内容と水準を整理し、企業間で共通認識を持てる仕組みとして本制度が検討されることになったと考えられます。
セキュリティ対策評価制度の導入により、企業は自社に求められる情報セキュリティ対策の水準を把握しやすくなると考えられています。
特に、リソース※4に限りのある中小企業にとっては、優先して取り組むべき対策がわかりやすくなる点はメリットです。また、発注企業にとっても、取引先に求める情報セキュリティ対策の水準を示しやすくなり、サプライチェーン全体のリスク低減につながると考えられています。
結果として、サプライチェーン全体のセキュリティ水準の底上げや、社会全体のサイバーリスクへの対応力向上にもつながることが期待されています。
セキュリティ対策評価制度は、サプライチェーンに関わる企業のうち、主にBtoB取引における受注者側を中心に、IT基盤の情報セキュリティ対策状況を評価する制度です。すべての業務やシステムが対象になるわけではなく、評価の対象となる事業者やICT環境の範囲は、一定の考え方に基づいて整理されています。
ここでは、制度の対象となる事業者と、評価の対象となる業務や範囲について解説します。
制度において情報セキュリティ対策の実施主体として想定されているのは、サプライチェーンに関わる企業のうち、主に取引における受注者側の企業です。発注企業から業務を受託し、その業務を遂行する立場の企業が、評価取得の中心的な対象となります。
評価の申請は、自社のIT基盤に関する情報セキュリティ対策の向上に責任を持つ単位で行うことが想定されています。具体的には、以下のとおりです。
また、この制度には業種や企業規模による制限は設けられておらず、中小企業を含め、サプライチェーンに関わる幅広い企業が対象となります。
さらに、サプライチェーン企業は取引内容によって発注者の立場になる場合もあるため、制度の運用にあたっては受注者だけでなく、発注者側の協力も想定した仕組みとなっています。
セキュリティ対策評価制度では、主にサプライチェーン企業が業務で利用するIT基盤が評価の対象とされています。社内ネットワークや業務システム、サーバーなどのICT環境に加え、クラウド環境で運用しているシステムも対象に含まれます。
具体的な対象業務・範囲は、以下のとおりです。
<評価対象となるもの>
一方で、製造設備などを制御するシステム(OTシステム)や、発注元に提供する製品そのものについては、求められる情報セキュリティ対策の内容が異なるため、原則として直接の評価対象には含まれません。
また、クラウドサービスや親会社が提供する共通ネットワークなど、他社と役割や責任を分担して利用しているIT基盤については、責任共有モデル※5の考え方に基づいて対応します。自社が実施すべき情報セキュリティ対策の範囲と、サービス提供者側の対策状況を確認すべき範囲を整理したうえで、評価対象を設定することが求められます。
セキュリティ対策評価制度では、企業の情報セキュリティ対策の状況を段階(★の数)で評価し、その水準をわかりやすく示す仕組みが採用されています。この制度は、IPAが運用している既存の自己宣言型制度を基盤として、そこに新たな評価段階を組み合わせることで、企業の実態や役割に応じた情報セキュリティ対策レベルを示せる点が特徴です。
ここでは、既存制度として位置づけられる★1・★2と、新たに設けられる★3~★5の違いについて解説します。
「★1」と「★2」は、IPA(独立行政法人情報処理推進機構)が運用している「SECURITY ACTION」に基づく既存の自己宣言型制度です。中小企業が情報セキュリティ対策に取り組む最初のステップとして位置づけられています。
| 評価レベル | ★1 | ★2 |
|---|---|---|
| 制度 | 既存制度「SECURITY ACTION」に基づく | 既存制度「SECURITY ACTION」に基づく |
| 目的 | 情報セキュリティ対策の第一歩 | 情報セキュリティ対策の基盤づくり |
| 対象 | 中小企業 | 中小企業 |
| 評価方法 | 自己宣言 | 自己宣言 |
| 主な要件 | 「情報セキュリティ5か条」への取り組み | 自社診断、「情報セキュリティ基本方針」の策定・公開 |
参考:
SECURITY ACTIONとは?|IPA(独立行政法人情報処理推進機構)
情報セキュリティ6か条|IPA(独立行政法人情報処理推進機構)
「★1」は、「情報セキュリティ5か条」に取り組むことを企業が自己宣言する段階で、これまで十分な対策を行ってこなかった企業でも比較的取り組みやすい内容となっています。これに対して「★2」は、自社の情報セキュリティ対策の状況を診断したうえで「情報セキュリティ基本方針」を策定し、それを外部に公開することが求められる段階です。
いずれも第三者による評価や審査を伴わない自己宣言型の制度であり、取引先との関係でセキュリティ水準を評価する仕組みではありません。サプライチェーンにおいて、より実効性のある対策水準を示すための評価制度として位置づけられているのが、次に説明する「★3」以降の評価段階です。
| 評価レベル | ★3 | ★4 | ★5(検討中) |
|---|---|---|---|
| 想定される脅威 | 広く認知された脆弱性等を悪用する一般的なサイバー攻撃 |
| 未知の攻撃も含めた、高度なサイバー攻撃 |
| 対策の基本的な考え方 | すべてのサプライチェーン企業が最低限実装すべき対策 | サプライチェーン企業等が標準的にめざすべき対策 | サプライチェーン企業等が到達点としてめざすべき対策 |
| 具体的な対策 |
|
|
|
| 評価方法 | 専門家確認付き自己評価 | 第三者評価 | 第三者評価 |
出典:サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)(SCS評価制度の構築方針(案))を公表しました|経済産業省
「★3~★5」は、サプライチェーンにおける実効性のある情報セキュリティ対策を可視化するために、新たに設けられる評価段階です。自己宣言型である「★1」「★2」とは異なり、実施している対策や運用状況について一定の確認や評価を受けることで、企業のセキュリティ水準を示す仕組みとなっています。
なお、令和8年度以降、対策基準や評価スキームの具体化について検討が進められる予定です。
各レベルの概要は、以下のとおりです。
★3…すべてのサプライチェーン企業が最低限実装すべき情報セキュリティ対策
基礎的なシステム防御策や体制整備を中心とし、専門家の確認を受けた自己評価によって評価結果を確定させる。
★4…サプライチェーン企業が標準的にめざすべき情報セキュリティ対策
初期侵入の防御に加え、被害拡大防止やインシデント対応、取引先管理など、ガバナンスと運用を含めた包括的な対策が求められ、第三者評価によって確認される。
★5…到達点としてめざすべき対策
国際規格などに基づくリスクベースの考え方を前提に、現時点でのベストプラクティスに沿った対策を実施する水準。具体的な基準や評価スキームについては、今後さらに検討が進められる予定。
なお、評価段階は必ずしも順番に取得する必要はなく、「★3」を取得していなくても「★4」を取得することも可能とされています。自社の立ち位置やサプライチェーンにおける役割を踏まえながら、めざす評価段階を検討していくことが重要です。
セキュリティ対策評価制度では、評価段階ごとに、企業が実施すべき情報セキュリティ対策の内容と水準が整理されています。ここでは、★3・★4における対策レベルと評価方法、有効期間について詳しく解説します。
セキュリティ対策評価制度では、★3と★4それぞれについて、どの分野でどの程度の情報セキュリティ対策が求められるのかが整理されています。
以下は、制度で示されている要求事項をもとに、★3と★4の対策レベルの違いを一覧表で整理したものです。
| 大分類 | ★3 | ★4 |
|---|---|---|
| ガバナンスの整備 | 企業として最低限のリスク管理体制の構築 | 継続的改善に資するリスク管理体制の構築 |
| 取引先管理 | 取引先に課す最低限のルール明確化 | 取引先の管理・把握および取引先との役割・責任の明確化 |
| リスクの特定 | 自社ICT基盤や資産の現状把握 | 脆弱性など最新状況の把握と反映 |
| 攻撃などの防御 | 不正アクセスに対する基礎的な防御 端末やサーバーの基礎的な保護 | 多層防御による侵入リスクの低減 |
| 攻撃などの検知 | ネットワーク上の基礎的な監視など | 迅速な異常の検知 |
| インシデントへの対応 | インシデント発生に備えた対応手順の整備 | インシデント発生に備えた対応手順の整備 |
| インシデントからの復旧 | インシデント発生から復旧するための対策の整備 | インシデントからの復旧手順などの整備 |
参考:サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)_3.4制度で用いるセキュリティ要求事項・評価基準_3.4.1要求事項・評価基準|経済産業省
★3と★4では求められる対策の範囲や内容に違いがあります。評価基準の数も、★3は81項目、★4は153項目とされており、★4のほうがより広い範囲での対策や運用体制が求められます。
中小企業にとっては、まず★3の水準を理解し、基本的なセキュリティ対策を整えたうえで、段階的に対応を進めていくことが現実的といえるでしょう。
セキュリティ対策評価制度では、評価段階によって評価方法や有効期間が異なります。以下は、★3と★4の違いを整理したものです。
| 項目 | ★3 | ★4 |
|---|---|---|
| 評価方法 | 自社による自己評価 (書類確認が中心) | 評価機関による第三者評価 (書類・実地審査・技術検証) |
| 有効期間 | 1年 | 3年 |
| 有効期間中の対応 |
|
|
参考:サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)_3.5制度における評価スキーム_3.5.3評価の考え方–評価の有効期間等|経済産業省
なお、★3・★4のいずれの場合でも、評価取得時に設定した対象範囲や情報セキュリティ対策の内容に影響する変更があった場合には、改めて専門家または評価機関による確認・評価を受ける必要があります。
このように、制度は一度評価を受けて終わりではなく、継続的に対策状況を確認し、見直していくことを前提とした仕組みです。
セキュリティ対策評価制度は、2026年度末頃の運用開始が予定されています。制度開始後にスムーズに評価を取得するためには、早期から準備を進めておくことが大切です。
特に、★3以上の評価取得をめざす場合は、現在の情報セキュリティ対策の状況を整理したうえで、不足している対策の洗い出しや、社内ルール・運用体制の整備などを進める必要があります。こうした対応には一定の時間を要することもあるため、制度開始後に検討するのではなく、あらかじめ段階的に準備を進めておくことが重要です。
セキュリティ対策評価制度に対応するためには、制度開始後に慌てるのではなく、事前に段階的な準備を進めておくことが重要です。ここでは、中小企業が押さえておきたい主な準備ポイントを解説します。
セキュリティ対策評価制度に対応するうえでは、まず自社がどの評価レベルをめざすのかを明確にすることが重要です。評価段階によって求められる対策内容や運用体制、準備にかかる負担が異なるため、最初に目標となるレベルを整理しておくことで、取り組むべき対策を計画しやすくなります。
その際には、制度の目的や評価基準を理解したうえで、自社の事業内容やサプライチェーンにおける立場、取引先から求められる可能性のあるセキュリティ水準などを踏まえて検討することが大切です。特に中小企業の場合は、まず基本的な情報セキュリティ対策の整備を目的として「★3」の取得を目標にすることが現実的な選択肢といえるでしょう。
セキュリティ対策評価制度はサプライチェーン全体での対策強化を目的としています。そのため、自社だけでなく外部委託先の情報セキュリティ対策状況を把握しておくことも重要です。
業務の一部を委託している場合は、委託先がどのような情報セキュリティ対策を実施しているのかを確認し、必要に応じて改善を促す体制を整えておきましょう。また、委託契約を結ぶ際には、情報セキュリティに関するルールや責任範囲、インシデント発生時の対応方針などを明確にしておくことも大切です。
こうした取り組みを通じて、サプライチェーン全体でのセキュリティリスクの低減につながると考えられます。
セキュリティ対策評価制度に対応するためには、担当部署だけでなく、情報を扱う従業員や取引に関わる部門も制度の内容を理解しておくことが重要です。情報セキュリティ対策は日常業務のなかで実践されるものが多いため、社内全体で共通の認識を持つ必要があります。
そのため、制度の概要や自社がめざす評価レベル、必要となる対策内容について、社内研修や資料の共有などを通じて周知を進めましょう。また、新たに定める社内ルールや運用方法がある場合には、その内容や目的を関係者にわかりやすく伝えることも重要です。
セキュリティ対策評価制度に対応するためには、自社がめざす評価レベルを基準に、現在の情報セキュリティ対策や運用体制を整理しておくことが大切です。既存の対策内容を確認し、不足している取り組みがないかを把握したうえで、必要な対策を計画的に進めていくことが求められます。
評価レベルによっては、セキュリティ機器やツールの導入に加え、運用ルールの見直しや担当者・責任体制の明確化などが必要となる場合もあります。また、対策は導入して終わりではなく、日常業務のなかで継続的に運用・管理できる体制を整えていくことが重要です。
こうした運用体制を整備しておくことで、制度への対応を進めやすくなるでしょう。
セキュリティ対策評価制度に対応するためには、目標となる評価レベルの設定から、必要な対策の導入、継続的な運用までを段階的に進めていくことが重要です。特に中小企業の場合は、人員や専門知識が限られていることも多く、「★3」で求められる技術的な対策や運用体制を整えることが負担となることもあるでしょう。
こうした課題に対応するのが、NTT東日本の「おまかせサイバーみまもり セキュリティパッケージ」です。本サービスでは、セキュリティ対策評価制度に向けた技術的対策の準備を支援します。
「おまかせサイバーみまもり セキュリティパッケージ」では、「★3」で重視される基礎的な技術対策に向けた準備を、一つのサービスで進められます。
具体的には、以下のような対策が可能です。
| ご提供機能の例 | 概要 |
|---|---|
| 出入口対策(UTM) | 社内外の通信を監視して不審な通信を遮断し、メールによる攻撃や不審なWebページへのアクセスを防ぐ |
| 端末対策(EPP+EDR) | 端末の感染を早期検知し、万が一感染した場合も侵入経路や感染範囲を分析し、復旧をサポート |
| 運用サポート | 日々の運用を監視し、異常検知時はアラート通知や調査を行う |
「おまかせサイバーみまもり セキュリティパッケージ」を導入することで、運用まで含めて支援を受けられるのが大きな魅力です。
月額利用料も比較的リーズナブルで、セキュリティ対策評価制度の技術的対策に向けた準備ができるため「何から手を付ければよいかわからない」「自社だけで★3対応を進めるのは不安」といった企業でも、制度対応の第一歩として活用しやすいサービスとなっています。
セキュリティ対策評価制度への対応、何から始めればいい?
おまかせサイバーみまもり セキュリティパッケージ パンフレット
ここからは、セキュリティ対策評価制度に関するよくある質問に回答します。
現時点では、セキュリティ対策評価制度によって情報セキュリティ対策が一律に義務化されているわけではありません。
ただし、制度は2026年度下期からの運用開始が予定されています。制度の活用が進むにつれて、発注企業が取引先に対して一定の評価レベル(★3など)への対応を求めるケースが増える可能性があります。
そのため、今後の取引に備えて、早い段階から情報セキュリティ対策の状況を整理しておくことが重要です。
サプライチェーン対策評価制度とは、「サプライチェーン強化に向けたセキュリティ対策評価制度」を指します。企業の情報セキュリティ対策の状況を段階的に評価し、その水準をわかりやすく示す仕組みです。
取引先の情報セキュリティ対策状況は外部から把握しにくいという課題があることから、共通の基準で対策状況を確認できる仕組みとして、経済産業省を中心に検討が進められています。サプライチェーン全体で情報セキュリティ対策の水準を高めることが目的となっています。
本記事では、セキュリティ対策評価制度の概要や仕組み、今後のスケジュール、企業が準備すべきポイントなどについて解説しました。
セキュリティ対策評価制度は、サプライチェーンに関わる企業の情報セキュリティ対策を★の段階で評価・可視化する制度です。サイバー攻撃の高度化やサプライチェーンを狙った攻撃の増加を背景に検討が進められており、2026年度下期からの運用開始が予定されています。
企業は自社がめざす評価レベルを整理したうえで、IT基盤の対策状況や社内体制、委託先管理などを見直し、段階的に準備を進めていくことが求められます。特に中小企業では、「★3」で求められる技術的対策や運用体制の整備を自社だけで進めることに不安を感じるケースもあるでしょう。
こうした課題への対応として、NTT東日本の「おまかせサイバーみまもり セキュリティパッケージ」では、セキュリティ対策評価制度の技術対策に向けた準備を進められます。サービスの詳細については、以下のリンクからチェックしてみてください。
セキュリティ対策評価制度「★3」で求められる最低限必要な情報セキュリティ対策を一つのサービスで導入!「おまかせサイバーみまもり セキュリティパッケージ」の詳細を見る
セキュリティ対策評価制度への対応に不安がある中小企業さまへ「おまかせサイバーみまもり セキュリティパッケージ」の資料を無料でダウンロードする
監修 山口 卓也(NTT東日本)
ビジネス開発本部 サイバーセキュリティビジネス部 セキュリティソリューション担当
2000年入社。法人営業SEとして大学・自治体向けシステム構築を経験後、2006年よりセキュリティ業務に従事。サービス開発や研究技術の事業化、社内システムのセキュリティ審査などを経て、現在は「おまかせサイバーみまもり」などのサービス開発PMを担当。グローバルな情報セキュリティ資格である、CISSP・CCSP保有。
編集 NTT東日本編集部
NTT東日本のサービス担当者が企画・監修を行う編集チームです。
中小企業の皆さまにとって身近で役立つ情報をお届けすることを目的に、サービスの特長や活用方法をわかりやすくご紹介しています。
日々の業務にすぐに活かせるヒントや、経営課題の解決につながるサービスの魅力を丁寧に発信しています。
関連サービス
おまかせサイバーみまもり セキュリティパッケージ
パソコン・スマートフォン100台以下のオフィスにおすすめの、法人・事業者さま向けネットワークセキュリティ対策です。不正アクセス、迷惑メール、有害メールなどの脅威から社内ネットワークを守るUTM機能に加え、有事の際に復旧支援します。
資料ダウンロード
【関連サービス】おまかせアンチウイルスEDRプラス/おまかせアンチウイルスパンフレット
おまかせアンチウイルスEDRプラス/おまかせアンチウイルスを導入することで、面倒な手間をかけずにウイルス対策ができるようになるポイントを紹介します!
個人情報保護法改正のポイントを途中経過からわかりやすく解説【2025年】
無料のウイルス対策ソフトを利用する際の注意点は?有料版との違いも紹介。
拡大するランサムウェアの脅威とは。知っておくべき手口や対策
中小企業を脅かすサプライチェーン攻撃 事例から学ぶ対策の重要性
サイバー攻撃の手口とは?種類や事例、情報セキュリティ対策を紹介
マルウェアとは?企業が知っておきたい種類・感染経路・対策を解説
お電話でのお問い合わせ
0120-116-032
平日:9:00-17:00
年末年始(12/29~1/3)を除く
お気軽にお問い合わせください
