取引先企業のセキュリティ対策は大丈夫？ どうやって判断すれば…… サプライチェーンの「評価制度」など、経産省がサイバー政策を推進

経済産業省の橋本勝国氏（商務情報政策局 サイバーセキュリティ課 企画官）。「Security Days Fall 2025」で、同省のサイバーセキュリティ政策について講演した

　東京都内で開催中のサイバーセキュリティ専門のセミナー／展示会イベント「Security Days Fall 2025」において10月21日、経済産業省の橋本勝国氏（商務情報政策局 サイバーセキュリティ課 企画官）が講演。同省が推進するサイバーセキュリティ政策の概要を説明した。

　橋本氏によると、同省のサイバーセキュリティ政策の柱としては、「サプライチェーン全体での対策強化」「セキュア・バイ・デザインの実践」「政府全体でのサイバーセキュリティ対応体制の強化」「サイバーセキュリティ供給能力の強化」という4つがあるという。

　今回の講演では、国内で発生した主なサイバー攻撃として、2024年5月、DMM Bitcoinから約482億円相当の暗号資産が、取引管理業務の委託先企業を経由して盗まれた事案などを例示。また、IPAが毎年発表している「情報セキュリティ10大脅威」の2025年版において、2位に「サプライチェーンや委託先を狙った攻撃」がランクインしていることを紹介。サプライチェーンや委託先を起点とした情報漏えいや資産の窃取事案が深刻になっていることを示し、サプライチェーンや委託先において相対的にセキュリティ対策の弱い中小企業のセキュリティ対策を強化することの必要性を強調した。

　そこで、政策の柱の1つである「サプライチェーン全体での対策強化」の一環として挙げたのが、「サプライチェーン企業のセキュリティ対策評価制度」だ。現在、サプライヤー側の企業にとっては、発注元の企業によって異なる水準のセキュリティ対策を要求される一方、発注元の企業からすると、発注先のサプライヤーがどの程度のセキュリティ対策をとっているか判断しづらいという“すれ違い”があるという。この制度はそうした課題に対応するためのもので、サプライチェーン内の企業が満たすべきセキュリティ対策について国で統一的なレベルを提示し、評価結果を星の数により“見える化”するのが目的。2026年度中に制度開始を目指している。

2026年度中の開始を目指している「サプライチェーン企業のセキュリティ対策評価制度」の概要

「サプライチェーン全体での対策強化」としてはこのほか、中小企業の支援に特に力を入れていくスタンスも強調。すでに展開している「SECURITY ACTION」「サイバーセキュリティお助け隊サービス」「中小企業の情報セキュリティ対策ガイドライン」といった取り組みも紹介した

「セキュア・バイ・デザインの実践」としては、サイバーインフラ事業者（ソフトウェア開発ベンダー、ソフトウェア販売会社、ソフトウェア運用ベンダー）およびその顧客のそれぞれの責務と取り組むべき対策を体系化したガイドラインを、近く公表できる見込みだという

同じく「セキュア・バイ・デザインの実践」としては、IoT製品において出荷時点で基本的なセキュリティ対策が行われていることを認定する制度「JC-STAR」も紹介

　Security Days Fall 2025は10月24日まで、JPタワーホール＆カンファレンス（東京都千代田区丸の内2-7-2 JPタワー・KITTE 4F）で開催。サイバーセキュリティ対策や脅威動向について最新情報を共有するセミナーのほか、セキュリティベンダーら約60社が出展する展示ブースもある。参加費は無料だが、イベント公式サイトから事前登録が必要。

　東京に続き、10月28日には福岡でSecurity Days Fall 2025が開催される。会場はONE FUKUOKA CONFERENCE HALL（福岡市中央区天神1-11-1 ONE FUKUOKA BLDG. 6F）。同じく参加費は無料で、事前登録が必要。