経産省など、サイバー対策を可視化
経済産業省と内閣官房は、サプライチェーン(SC、供給網)の強化に向け、サイバーセキュリティー対策状況を可視化する「セキュリティ対策評価制度(SCS評価制度)」を創設する方針だ。 2025年12月26日に同制度の構築方針案を公表。
経済産業省と内閣官房は、サプライチェーン(SC、供給網)の強化に向け、サイバーセキュリティー対策状況を可視化する「セキュリティ対策評価制度(SCS評価制度)」を創設する方針だ。 2025年12月26日に同制度の構築方針案を公表。
セキュリティー対策を3段階で評価するもので、年度内に成案化し、26年度末の制度開始を目指している。 (田中信也) また、同制度を活用する中小企業向けの新たな支援策として「サイバーセキュリティお助け隊サービス」を創設する。 「何をしたらいいか分からない」「コストを掛けられない」といった悩みを抱える企業を対象に、国が認定した民間事業者によるサービスを想定。 24時間の異常監視、緊急時の駆け付け支援、相談窓口の提供、簡易的サイバー保険などをワンパッケージで提供する。
経産省と情報処理推進機構(IPA、齊藤裕理事長)が、創設に向けた具体的な検討を進める。 更に、大企業が取引先の中小企業などに対し、一定のサイバーセキュリティー対策を講じていることを取引の条件とすることについて、独占禁止法や中小受託取引適正化法(取適法)との関係を整理。 問題とならないケースを想定した事例と、想定事例の内容を補足するための解説文書を作成した。 経済団体や中小企業支援機関の協力を得て、発注者側、取引先の双方への普及を進めていく。
近年、取引先に影響を与えるようなサイバー攻撃事案が頻発しており、SC全体でのサイバーセキュリティー対策の強化が求められている。 しかし、取引先のセキュリティー対策状況を外部から判断するのが難しいといった発注元企業側の課題や、複数の取引先から様々な対策を要求されるといった委託先企業側の課題などが生じている。 こうした課題に対応するため、経産省と内閣官房国家サイバー統括室は、SCの重要性を踏まえた上で満たすべき各企業の対策を提示しつつ、その対策状況を可視化する仕組みを検討するため、有識者・産業界と議論。 25年4月には、SCS評価制度構築に向けた中間取りまとめを公表した。
今回公表した構築方針案では、中間取りまとめの公表以降に行った実証事業を踏まえ、制度の運用体制案、用いるセキュリティー要求事項・評価基準、評価スキームなどを盛り込んでいる。 なお、制度は企業のセキュリティー対策への対応状況を可視化するもので、「事業者にセキュリティー対策のレベルを競わせるのが目的ではない」としている。 セキュリティー対策を星の数での3段階に設定する。 「三つ星」は、基礎的なシステム防御策と体制整備を中心に、全てのSC企業が最低限実装すべき対策。 評価スキーム(手法)には、社内外の専門家による確認や助言を経て、評価結果として確定させる「専門家確認付き自己評価」を採用する。 「四つ星」は、SC企業が標準的に目指すべき対策で、ガバナンス(組織統治)・取引先管理、システム防御・検知やインシデント対応といった包括的な対策が対象となる。 「五つ星」は、SC企業が到達点として目指すべき対策。 国際規格などのリスクベースの考え方を踏まえて組織に必要な改善プロセスを整備した上で、システムに対しては現時点のベストプラクティスに基づき対策を講じる。 どちらも評価機関などによる第三者評価で結果を確定する。 三つ星、四つ星については、26年度末の開始を目指し、運営基盤の整備や、導入促進などを行う。 五つ星は、26年度以降に対策基準や評価スキームを具体化するための検討を進めていく。