サプライチェーンセキュリティ評価制度における★3と★4の違いと判断軸
前回、経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度」と、日本自動車工業会(自工会)および日本自動車部品工業会(部工会)の「サイバーセキュリティガイドライン」を取り上げ、そのスコープの違いについて解説した。今回は、サプライチェーン強化に向けたセキュリティ対策評価制度における★3と★4の本質的な違いと、多くの企業で悩まれているどちらのレベルを目指すべきかを見極めるための判断軸を整理する。
制度上の役割の違い
★3と★4は単なる“強度の違い”ではなく、“制度上の役割”が異なる。★3はサプライチェーン全体のセキュリティ水準を底上げするための“最低限の基準”として位置付けられている。その一方、★4は社会的・産業的に重要な役割を担う企業に対し、より高い信頼性を求めるための“上位基準”である。つまり、★3は広く企業への普及を目的としており、★4は限られた重要プレイヤーに適用されることを想定している。
この役割の違いは、要求事項の内容にも明確に表れている。例えば「統治(GV)」の領域では、★3の場合、セキュリティ方針の策定や責任者の設置といった体制の“存在”が確認されれば一定の評価を得られる。その一方、★4では経営層の関与に加え、「年1回以上」といった具体的な頻度要件を伴うKPIによる進捗管理や、リスクに基づく意思決定とその実行など、体制が実際に“機能していること”まで求められる。
★4の取得が求められる委託先企業
サプライチェーン強化に向けたセキュリティ対策評価制度において、発注者が取引先に対して★4(あるいは★3)の適用を求める際の判断基準の考え方として、以下のフローが示されている。
【判断基準の考え方のフロー】
1.事業継続リスク:取引先の事業中断により、自社の事業継続上、重要な業務に許容できない遅延などが生じ得る。
2.情報管理リスク:取引先へのサイバー攻撃などにより、自社の機密などに係る情報管理に重大な影響が生じ得る。
これらのいずれかが「YES」となる場合、発注者は取引先に対して★4の取得を要求することが想定される。さらに、直近のインシデント発生状況や再委託先の重要性といった追加要素も考慮される。
★4の取得が想定される取引先に該当し得る業種・事業の具体例とその影響を示す。参考にしていただきたい。
【業種・事業の具体例とその影響】
1.サプライチェーンの中核企業
・主要な部品を供給する企業(Tier1、Tier2サプライヤーなど)
・特殊部品を供給する企業
・独自技術を有する、または寡占状態にある部品を供給する企業
事業が停止した場合、供給量の減少や代替不可により、発注元企業(サプライチェーン)に大きな影響を与える。また、設計情報や未公開のデザインを提供している場合も、それらの情報が競合他社に漏えいすると、発注元企業が競争上の優位性を失う恐れがある。
2.社会インフラ・重要サービスを担う
・電力、水道、ガス、石油、物流などの社会インフラ関連企業
・通信、クラウドなどの重要サービス提供企業
事業が停止した場合、企業活動への影響だけでなく社会全体へも影響を与える可能性がある。
3.機密性・安全性が極めて高い企業
・防衛、航空宇宙、医療、半導体などの分野に関わる企業
戦略情報、設計情報、個人情報などが漏えいした場合、国民や国家の安全保障(経済安全保障を含む)を脅かしかねない。また、事業停止が人命に影響を与えることも想定される。
4.発注元の内部システムにアクセス可能な企業
委託先企業の環境から、発注元の重要情報やシステム、ネットワークへVPNなどのリモートアクセスやデバイスを通じてアクセス可能な場合、ランサムウェアに代表されるマルウェアに感染させられるインシデントがしばしば報告されている。いわゆるサプライチェーン攻撃である。そのため、委託されている企業のセキュリティ確保が求められる。
そのほか、発注元企業が★4以上の場合、設計情報や個人情報を提供し、製造やサービス提供を委託している取引先企業に対しても★4を要求するケースもある。
★4へのステップアップを目指して
冒頭で、★3はサプライチェーン全体のセキュリティ水準を底上げするための“最低限の基準”であることを説明した。今後、大手企業との取引拡大や海外展開を視野に入れる企業にとっては、★4相当の整備を早期に検討しておくことが将来的に競争優位につながる可能性が高い。
★3から★4へのステップアップを行うには、以下のような中期計画が必要になるであろう。日立ソリューションズが提供しているセキュリティ戦略策定というサービスをベースに進め方を整理する(上図)。
【中期計画の例】
★3を取得することで、②の「情報収集」は実施したことになるだろう。それに対し、★4を目指すには、①と③、そして④を実施し、対策を進めていく必要がある。
①では、まず、何のために★4を取得するのかを明文化したい。
③では、★4を獲得するために、★3の状況に対し、何が不足しているのか、何を新たに実施する必要があるのか、課題を整理・可視化する。
④では、その課題に対して優先順位を付け、ロードマップを策定する。
後は、このロードマップに沿って、予算や体制を確保し実行に移していく。
★3を取得している企業も、このような実行計画を発注元に説明できるだけで、取引先としての評価や信頼性が向上するだろう。ぜひ、参考にしてほしい。
〈参考〉
経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)
https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
