具体化が進む「サプライチェーン強化に向けたセキュリティ対策評価制度」

2025年4月14日、経済産業省より「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」が公表された。2024年7月にも本誌に「サプライチェーンのセキュリティ強化に向けたサイバー攻撃対応力の格付け」ということで掲載したが、今回はより具体的になってきた、現状検討されている評価制度の内容について説明する。

評価制度構築のきっかけとなった課題

 日本では2022年4月に防衛省/防衛装備庁が、防衛関連企業向けのサイバーセキュリティ基準「防衛産業サイバーセキュリティ基準」を整備したころからサプライチェーンのセキュリティが意識され始めた。

 発注側は受注側のセキュリティ対策状況を把握するため、世の中の状況を加味して独自の確認項目を作成し受注側に回答を求めていた。実際に日立ソリューションズも複数の取引先企業からセキュリティ対策状況の確認があった。企業ごとに確認の粒度や項目が異なっていたため、都度回答を検討して用意していたが、同じような状況にあった企業は多いのではないだろうか。

 このように、複数の発注側から異なるレベルでセキュリティ対策状況の回答を求められる状況では、受注側も発注側も工数がかかり疲弊してしまう。これが評価制度構築のきっかけとなった主な課題だ。

レベル別に見る要求事項

 企業のセキュリティ対策を評価する仕組みとしては、情報処理推進機構(IPA)が構築した、企業が情報セキュリティ対策に取り組むことを自己宣言する制度「SECURITY ACTION」があり、一つ星(★1)、二つ星(★2)のレベルに達していることを自己評価・宣言できるようになっている。SECURITY ACTIONでの確認項目と今回検討されている制度について、どのような違いがあるのかを見てみたい。

 検討中の制度では、三つ星(★3)[自己評価]、四つ星(★4)[第三者評価]、五つ星(★5)[第三者評価]の設定が検討されており、中間取りまとめの中で、各評価の確認項目が要求事項(案)として記載されている。なお、2026年に施行が計画されているのは三つ星(★3)、四つ星(★4)だ。

 一つ星(★1)から四つ星(★4)まで、俯瞰的に見ていく。一つ星(★1)はSECURITY ACTIONの「情報セキュリティ5か条」に取り組むことを宣言するものだ。具体的には、OSやソフトウェアは常に最新の状態にする・ウイルス対策ソフトウェアを導入する・パスワードを強化する・共有設定を見直す・脅威や攻撃の手口を知る、の五つとなる。二つ星(★2)は、下記のような分類・数で確認項目が用意されている。

・基本的対策:5項目
・従業員としての対策:13項目
・組織としての対策:7項目

 従業員数が少ない小規模な事業者を対象にした仕組みとなっているため、従業員のセキュリティリテラシーを向上し対応を促すような項目が多いのだ。

 一方、経済産業省が検討を進めている、企業がサプライチェーン全体で適切なセキュリティ対策を実施するための評価制度「サプライチェーン強化に向けたセキュリティ対策評価制度」では、NIST CSF 2.0※1が示す六つの機能「統治」「特定」「防御」「検知」「対応」「復旧」を網羅した、以下のような体系で確認項目が検討されている。

[標準的な対策をまとめた四つ星(★4)の場合]
・ガバナンスの整備:7項目
・取引先管理:5項目
・リスクの特定:5項目
・攻撃等の防御:23項目
・攻撃等の検知:3項目
・インシデントへの対応:1項目
・インシデントからの復旧:1項目

 最低限実施すべき対策を示した三つ星(★3)でも前述の六つの機能を網羅しており、それなりに高いレベルを求められる。

図:三つ星(★3)の要求概要

多種多様な企業が対象となる三つ星

 三つ星(★3)は「すべてのサプライチェーン企業が対象になる」と記載されている。加えて、日本自動車工業会と日本自動車部品工業会が共同で策定した自動車産業におけるサイバーセキュリティ対策の指針「自工会/部工会・サイバーセキュリティガイドライン」のレベル1に相当するとされており、そのレベル1の達成を目指すべきは「自動車業界に関係する全ての会社」と記載されている。

 NIST CSF 2.0の機能ごとに、三つ星(★3)の要求概要を図に示す。詳しくはサプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめの25の要求事項を確認してもらいたいが、まずは各企業において自社の状況と比較し、早急に取り組むべきなのかどうかを判断する材料にしてほしい。

進む対策に取り残されないために

 冒頭の課題に挙げた通り、発注側も受注側もサプライチェーンのセキュリティ対策に関しては、推進し難い状況にある。本制度は、先行していくつかのサプライチェーン間での実証が行われ、政府・自治体などでの適用が進むものと思われる。SECURITY ACTIONもすでに40万社近くが自己宣言している状況であり、筆者が想定していた以上に進んでいる。

 三つ星(★3)の要求概要を見ていただければ分かる通り、全てに対応するのは簡単ではない。サプライチェーンから排除されないよう、自社の現状を把握した上で、早急に取り組んでいく必要がある。

※1 National Institute of Standards and Technology Cybersecurity Framework 2.0:米国国立標準技術研究所(NIST)が提供するサイバーセキュリティフレームワーク。統治、識別、防御、検知、対応、復旧の六つの機能で構成されており、これらの機能はサイバーセキュリティリスクを管理するための包括的な視点を提供する。

〈参考〉
経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」
https://www.meti.go.jp/press/2025/04/2025 0414002/20250414002.html
情報処理推進機構(IPA)「SECURITY ACTIONとは?」
https://www.ipa.go.jp/security/security-action/sa/index.html