サプライチェーン攻撃対策にも有効?サイバーセキュリティ対策格付け制度への備え

TEL:03-3513-7830|お問い合わせ

サプライチェーン攻撃対策にも有効?サイバーセキュリティ対策格付け制度への備え

コラムカテゴリー:,

記事の執筆

十亀 淳
システムコンサルタント十亀 淳

システムコンサルタント十亀 淳

2000年に独立系SI’erに入社。ITシステム運用、インフラ設計・構築を担当。 現場での経験に基づくシステムインフラの設計・構築・運用を強みとしつつ、さらに幅広い分野でクライアント企業、そして社会に貢献していくべく、青山システムコンサルティング株式会社に入社。 入社後はシステム化計画策定、RFP策定等のコンサルティング業務やシステムの移行支援、情報システム部門・セキュリティ部門の組織運営支援等に従事している。

今年もIPAから「情報セキュリティ10大脅威 2025」が発表されています。
そのなかで「サプライチェーンや委託先を狙った攻撃」が2位(7年連続選出)になり、引き続きサプライチェーン全体に対するリスク低減が必要な状況です。

今回のコラムではサプライチェーン強化に向けて経済産業省が検討している「企業のサイバーセキュリティへの格付け制度」についてみていきます。

2024年4月に検討が発表されたときには、早ければ今年度(2025年度)にも導入する案でした。その後、あまりこの話題を目にする機会がなかったのであらためて検討状況を確認しましたのでご紹介します。

 

サプライチェーン攻撃とは

サプライチェーン攻撃とは、業務委託先や取引先などの「事業活動におけるつながり(サプライチェーン)」に対する攻撃です。
自社が万全のセキュリティ対策をしていてもサプライチェーンのなかにセキュリティ対策が不十分な箇所があれば、そこから攻撃を受けてしまいます。

業種の垣根を超えて多くの企業・組織がつながり、多様なシステム、サービスが連携している社会では、一部の脆弱な箇所が攻撃されることで広範囲に影響が広がりやすくなります。

 

制度検討の状況

サプライチェーン攻撃が社会的に大きなリスクである状況が続いていることもあり、2024年4月に経済産業省が「企業のサイバーセキュリティ対策への格付け制度」の検討を発表しました。

対策が遅れがちな中小企業も含めたサプライチェーン全体の対策の底上げを目指して、対策状況の可視化や格付けを制度化しようという取り組みです。

産業サイバーセキュリティ研究会の「サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ」にて検討が進んでいて、今年2月の資料によると、2026年度の制度開始を目指して準備を進めているそうです。

2025年上期には実証事業を行い、その評価をするなかで制度に関する費用や工数も検証する計画です。

そのうえで2025年下期には要求事項・評価基準が確定し、2026年下期からは制度の運用が開始される計画となっています。

 

想定される内容

まだ検討中の制度ではありますが、これまでの検討状況から以下のような内容になると想定されます。


対策の基本的な考え方として「ガバナンスの整備」「取引先管理」「リスクの特定」「システムの防御」「攻撃等の検知」「インシデントへの対応」「インシデントからの復旧」に分類される要求事項があげられます。
※NISTサイバーセキュリティフレームワーク2.0の6分類に、サプライチェーン対策である「取引先管理」を加えた7分類

 

セキュリティ対策レベルを3段階程度に分けて、これらの要求事項に対する対応状況を評価(自己評価、第三者評価)する仕組みが想定されます。

既存ガイドラインや認証システムと重複する項目も多いため、既存の仕組みと整合を取りながらの制度設計となりそうです。

2024年12月24日 第3回の議事要旨にある、「本評価制度は ISMS 制度に足りない部分を拡充する制度、ISMS を取得するための組織の整備に資する制度という位置づけが、理屈的にすっきりするのではないか」という議論が個人的にはしっくりきました。

おなじくそのなかで言及されている、第三者認証によるコストや、保証レベルについても気になるところです。

本制度の話から少しずれますが、マネジメントシステムの認証は「管理する仕組み」の有効性を担保するものであり、セキュリティ対策レベルを保証するものではないこともあります。しかしその意識がなく「認証取得している企業だから安心」という判断をしているケースを見かけます。

本制度では、何がどこまで保証されているのかという点も分かりやすく可視化される仕組みになることを期待しています。

まだまだ未確定な状況ではありますが、仮にこの制度化が具体化して格付け取得が要求されるような社会環境になったとしても、大切なのは基本的な対策をしっかりとすることです。
何か特別な対応をするということではなく、基本的な対策を抜け漏れなくしっかりするための材料として活用できるような制度になるものと期待しています。
下記リンク先には要求事項案・評価基準案一覧も掲載されていますので、気になるかたはご参照ください。

今年度上期にはパブリック・コメントも実施されるようなので、それまでにはより具体的な案が出てくるものと思われます。
引き続き状況をみて、気になるところがあればパブリック・コメントで意見提出してみようと思います。

 

<参考資料>

IPA 情報セキュリティ10大脅威 2025

経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ

 

関連サービス

 
この投稿をシェア

2025年04月08日 (火)

青山システムコンサルティング株式会社

十亀淳