サプライチェーンのサイバーセキュリティを可視化できる！？星の数でわかる経済産業省「セキュリティ対策評価制度」の設置目的と検討の進捗

そして今、新たに準備しているのが星3（Basic）・星4（Standard）・星5の3段階です。ただし、制度開始初年度の2026年度は星3・星4の2段階までとし、星5の議論はその後に進める想定です。

それぞれの段階が目指す水準は、

としています。

星5は、前述の通り詳細は2026年度以降に検討するのですが、現時点では「より高度なサイバー攻撃への対応として、自組織のリスクを適切に把握・マネジメントした上で、システムに対する具体的な対策としては既存のガイドライン等も踏まえた上で現時点でのベストプラクティスに基づく対策を実行する」といった形が想定されています。

星3、星4、星5の「想定される脅威」、「対策の基本的な考え方」、「脅威に対する達成水準」「評価スキーム」、「ベンチマーク」については以下の表を参考にしてみてください。

画像を拡大
本制度において設ける段階と、想定される脅威等 （出典：経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ ）

中間取りまとめの段階では、各段階の要求事項は星3が25項目、星4が44項目となっています。この背景には、前出の「SECURITY ACTION」の要求事項が、星1で5項目、星2で25項目であることも影響しています。

「★1」と「★2」で求められることは？

ここで、星1と星2の要求事項を確認しておきましょう。ただし、「SECURITY ACTION」が自社のセキュリティ対策の強化を支援する制度である一方で、本制度はサプライチェーンを強化する制度ですから、双方の目的に違いがある点には留意しなくてはいけません。