｢★3｣が最低限の基礎水準､2026年度スタート"サプライチェーン強化に向けたセキュリティ対策評価制度"今から中小企業がやっておくべきこと

新制度によって受注企業・発注企業だけでなく社会全体のサイバーレジリエンスの強化も期待されている（画像：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」中間取りまとめ）

この制度が評価対象にするのは、業務で利用するIT基盤をはじめ、利用するクラウドサービス、運用体制、外部委託の管理、インシデント対応など、企業活動を支える土台の部分です。

自社の製品やサービスが高品質でも、社員が使っているメールが突破され、IDが乗っ取られ、取引先のシステムへ横展開されると、多大な被害が発生し、信用と取引が一気に揺らぎます。攻撃者は弱いところから入るので、サプライチェーン全体の底上げが必要になっているのです。

この制度の背景には、セキュリティに対する考え方の根本的な変化があると村田氏は指摘します。

村田学（むらた まなぶ）GMOサイバーセキュリティ byイエラエ ディフェンシブセキュリティ部 副部長（写真：本人提供）

「もともとセキュリティは『やらなくても自分が被害に遭ってつらい思いをするだけ』という自己責任の考え方が多かったのですが、それが崩れてしまいました。自分たちの不備が他社に迷惑をかけ、サプライチェーン全体を止めかねないという危機感から、急いで評価制度の構築が進められているのです。

実質的なセキュリティを守ることはもちろんですが、まずは「最低限これだけはやっていてほしい」というラインを示し、サプライチェーンから脱落者を出さないように段階的にレベルを上げていく意図が感じられます」（村田氏）

発注側の視点では、取引先の「安全度」を比較しやすくなるメリットが大きいです。受注側の視点では、自社の対策を説明する言葉が統一され、同じ努力を別フォーマットで何度も説明する負担が減っていきます。現場の納得感を作るため、制度側は「何を守るか」「どの程度の脅威を想定するか」「どんな証跡が必要か」を段階的に整理しているのです。

★1から★5までの階段設計、何が求められるのか

評価は★1（ほしいち、と読みます）から★5までの5段階で、低い星ほど入門、高い星ほど高度な運用を求める構造です。★1と★2はIPA（情報処理推進機構）の「SECURITY ACTION」を採用しています。

中小企業向けに提供する情報セキュリティ対策の自己宣言制度で、段階的に取り組むことを促す仕組みです。ここは審査というより、最低限の土台作りと社内の合意形成に向けた段階です。