経産省とNCO、「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築方針案を公表

　経済産業省と内閣官房国家サイバー統括室（NCO）は3月27日、「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）に関する制度構築方針」を公表した。ウェブサイトから評価基準の資料などをダウンロードできる。

　サプライチェーン攻撃の事案が頻発する中で、サプライチェーン全体のセキュリティ対策強化をはかるため、取引先のセキュリティ対策状況を評価・可視化する制度を設けるための検討が進められていた。2025年末に行った意見募集の結果を踏まえて作成されたのが、今回公表されたSCS評価制度に関する制度構築方針となる。経産省およびNCOは、2026末頃の制度開始を目指し、取り組みを進める。

5段階の基準でセキュリティ対策を評価

　SCS制度は、企業のセキュリティ対策状況を評価・可視化し、サプライチェーンを構成する委託元・委託先の企業の負担を軽減しつつ、サプライチェーン全体のセキュリティ水準の底上げを図るものとなる。★1～★5の5段階が設けられ、取引契約時に委託元側が適切な段階を提示し、委託先側がそれを満たしていることを示すことで、セキュリティに関する合意形成をスムーズにすると共に、一定のセキュリティ水準を分かりやすくする。

SCS評価制度が対象とするリスクの範囲。情報漏えいや改ざんの対策によるデータ保護、サプライチェーン中でセキュリティが脆弱な企業を踏み台とする不正アクセスのほか、事業継続に影響するサービスへの攻撃が含まれる

SCS評価制度の対象範囲。サプライチェーンを構成する企業のIT基盤、およびクラウドサービスを対象とするが、製造環境などの制御（OT）システムや製品などに関しては、サプライチェーン全体での共通が難しいことから同制度では直接の対象としない

　5段階のうち、★1および★2は、独立行政法人情報処理推進機構（IPA）が運営している「SECURITY ACTION」の自己宣言が相当する。★1の宣言内容に相当する「情報セキュリティ6か条」（旧5か条）、★2の宣言内容に相当する「5分でできる！情報セキュリティ自社診断」と「情報セキュリティ基本方針を策定」は、それぞれ同日となる3月27日に公開された「中小企業の情報セキュリティ対策ガイドライン」第4.0版を参照されたい。

　今回公表された制度構築方針は★3と★4に関するもので、「中小企業の情報セキュリティ対策ガイドライン」第4.0版には、★3、★4の対策に備えられる内容も含まれている。★5については2026年度以降に具体化の検討を進めるとしている。

　★3は「全てのサプライチェーン企業が最低限実装すべきセキュリティ対策」とされ、広く認知された脆弱性などを悪用する一般的なサイバー攻撃に備える内容で、専門家による確認付きの自己評価により取得できる。

　★4は「サプライチェーン企業などが標準的に目指すべきセキュリティ対策」とされ、供給停止などによりサプライチェーンに大きな影響をもたらす企業への攻撃や、機密情報など漏えいにより大きな影響をもたらす資産への攻撃に備える内容で、第三者評価により取得する。

SCS評価制度 ★3～★5の概要

中小企業向けの取得支援に「サイバーセキュリティお助け隊サービス」

　経済産業省およびIPAでは、SCS評価制度の実施に向け、中小企業向けの★3および★4取得支援策も行われる。そのうちの1つは先述の「中小企業の情報セキュリティ対策ガイドライン」第4.0版への改訂。もう1つ、「サイバーセキュリティお助け隊サービス」（新類型）の創設も予定されている。

　同サービスは、中小企業の課題を可視化し、課題解決のためのツールの導入支援や、ポリシー策定・ドキュメントの整備・教育といったツール外の支援を行うもの。2026年春頃から実証実験を開始し、品質要件や価格要件について検討を行うとしている。

「サイバーセキュリティお助け隊サービス」（新類型）の提供内容のイメージ