サプライチェーンのサイバーセキュリティを可視化できる！？星の数でわかる経済産業省「セキュリティ対策評価制度」の設置目的と検討の進捗

このような状況で、セキュリティ対策レベルを業種横断的に評価し、可視化できるようにすることが重要だという考えが高まってきました。一定のセキュリティレベルを維持することで、社会全体のセキュリティ対策コストが低減できるほか、セキュリティ対策に関するコミュニケーションコストを低減することもできるからです。

早速、経済産業省の産業サイバーセキュリティ研究会に「サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ」が設置され、2024年7月12日から議論が行われてきました。そして私も、このサブワーキンググループに委員として参加しています。

この記事では、経済産業省と内閣官房サイバーセキュリティセンターが公開した「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」（2025年4月14日）を基に、この制度が一体どのようなものになるのかについて、現段階における想定と、今後の動きなどを解説していきます。

「サプライチェーン強化に向けたセキュリティ対策評価制度（以下、本制度）」を検討するサブワーキンググループは、2024年7月12日以降、過去5回（※）開催されています。それぞれ活発な議論が重ねられた後、2025年4月14日に中間取りまとめが発表されました。

※2024年7月12日、9月9日、12月24日、2025年2月28日、4月7日

実は、経済産業省のサブワーキングと並行して、独立行政法人情報処理推進機構（IPA）が事務局を務める「サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）」でも、2024年度に「成熟度モデル検討サブワーキンググループ」を6回開催しており、本制度の立ち上げに関する検討を行っています。

2026年度（2026年4月1日以降）の開始を目指すため、それに先立って2025年度（2025年4月1日以降）に実証実験を行うことで、この経験を踏まえてより実効性の高い制度にするという計画がなされているところです。

セキュリティ対策のレベルを「★1〜★5」で評価する

さて、本制度ではセキュリティ対策のレベルを「星1〜星5」で評価する予定です。星5に近づくほど、高度な水準であることを意味します。

星1・星2は、IPAで実施しているセキュリティ対策自己宣言制度「SECURITY ACTION」の「一つ星」「二つ星」がそれぞれ該当します。