はじめに:なぜ今サプライチェーンを守るべきなのか
近年、サプライチェーンに起因するサイバー・インシデントを背景に、企業の取引においてもサイバーセキュリティ対策の担保が求められる中、受注企業が異なる取引先から様々な対策水準を要求され、発注企業は外部から各企業等の対策状況を判断することが難しいといった課題が存在しています。
このような課題を受けて、経済産業省は2025年4月14日に「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました。
参考URL:https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html
経済産業省が示す「セキュリティ対策評価制度」とは
求められるセキュリティ対策について、各企業のサプライチェーンにおける重要性や影響度を踏まえた上で、区分を★3、★4、★5の3つに分けることを想定しています。★1と★2については、先行する自己評価制度の仕組みである「SECURITY ACTION」にて定めているため、本取りまとめ書の区分は★3からの評価となっています。
★3(Basic) は、すべてのサプライチェーン企業が最低限実装すべき基礎的な対策です。自己評価形式で25項目が設定されています。
★4(Standard) は、標準的に目指すべき対策として、組織ガバナンスや取引先管理、インシデント対応など包括的な44項目が求められます。原則として第三者評価が必要となります。
★5 は、到達点として目指すべき高度な対策で、国際規格等に基づくリスクベースの改善プロセスの整備が求められます。
特に注目すべきは、この制度が「自社だけでなく、取引先やサプライチェーン全体のセキュリティを可視化する」ことを重視している点です。発注企業は受注企業に対して適切な段階(★)を提示し、対策状況を確認することが想定されています。
★3レベルで求められる「取引先管理」の具体的な要件
★3レベルの要求事項の中でも、特に多くの企業が課題として感じているのが「取引先管理」の項目です。
具体的には、以下のような対応が求められています。
自社以外の組織(顧客・子会社・関係会社・クラウドサービス提供者を含む取引先等)が管理・提供し、自組織の資産が接続している情報システムの一覧を作成していること
つまり、自社のシステムがどの外部サービスや取引先のシステムと接続しているのかを正確に把握し、一覧として管理する必要があるということです。
しかし現実には、「クラウドサービスが増えすぎて全体像が見えない」「契約しているサービスの棚卸しができていない」「子会社や海外拠点の資産状況が不明」といった声をよく耳にします。手作業での資産管理には限界があり、見落としがセキュリティリスクに直結してしまいます。
IONIXなら、デジタル資産の可視化を自動化できます
IONIXのプラットフォームを活用することで、★3に分類されている取引先管理の項目にある自社以外の組織が管理・提供し自組織の資産が接続している情報システムの一覧を自動で作成・管理することができます。
IONIXは、インターネット上に公開されている自社および関連組織の外部公開資産を自動で検出し、可視化します。
シードドメインを起点として、子会社や関連組織、利用中のクラウドサービス、さらにはサプライチェーン・シャドーITまで幅広く発見し、それらのリスクを攻撃者の視点から評価します。
2026年度の制度開始に向けて、今から準備をしませんか?
経済産業省は2026年度の制度開始を目指しており、実証事業や制度運営基盤の整備が進められています。制度が本格的に始まってから慌てて対応するのではなく、今のうちから準備を進めておくことで、スムーズな対応が可能になります。
また、この制度は自動車業界の「JAMA・JAPIA自工会/部工会サイバーセキュリティガイドライン」とも整合性が確保されており、業界横断的な取り組みとして広がっていくことが予想されます。サプライチェーン全体でのセキュリティ対策水準の向上は、今後ますます重要になるでしょう。
制度開始に向けて、いまのうちからIONIXで本評価制度に適合するための準備をIONIXで始めませんか?
- カテゴリ:
- IONIX
