｢★3｣が最低限の基礎水準､2026年度スタート"サプライチェーン強化に向けたセキュリティ対策評価制度"今から中小企業がやっておくべきこと

★1は「情報セキュリティ5か条」（OS・ソフトウェアの最新化、ウイルス対策ソフト導入、パスワード強化、共有設定見直し、脅威知識習得）に取り組む宣言です。IPAサイトで自己申告し、ロゴが利用でき、社内意識向上や補助金要件に活用されます。初心者企業向けのスタートラインとして、即時対応が可能です。

★2は★1の5か条に加え、「5分でできる！情報セキュリティ自社診断」（25項目チェック）を実施し、結果に基づく「情報セキュリティ基本方針」を策定・公開します。PDCAサイクルによる継続改善を促し、より本格的なアピールに適します。こちらも、宣言後、ロゴとIDが発行され、補助金加点に役立ちます。

★1と★2はIPAから宣言するだけで取得できる（画像：IPAより）

とはいえ、どちらもセキュリティレベルとしては本当に最低限で、実際のところサイバー犯罪者に狙われてしまうと被害を防ぎきることは難しいのが現状です。そこで、この制度は★3以上が中心に位置づけられています。

★3が基礎水準、「基本的な部分の穴埋め」重要

★3はサプライチェーンに関わる企業が最低限備えたい基礎水準として整理され、一般的な攻撃や既知の脆弱性の悪用を想定し、端末の防御や更新の管理、バックアップ、権限管理、教育、初動手順といった基本対策をそろえる設計です。要求事項は「おおむね25項目程度」と議論されており、自己評価を軸にしながら、必要に応じて外部専門家の関与も想定されています。

★3の段階であっても、実効性のあるセキュリティ体制を構築するためには、単なるチェックリストの消化で終わらせない視点が必要です。

「最終的に目指すべきゴールは、監視（異常検知）、脆弱性管理（パッチ適用）、インシデント対応、そして取引先の管理という4点に集約されます。例えば異常検知を行うためには、前段としてシステムログを取得し、レビューする体制が必要です。

ドラフト版のチェック項目は一見バラバラに見えるかもしれませんが、すべてはこうした最終ゴールにつながっています。特に★3の段階で重要になるのは、まだ着手できていない企業が多い「基本的な部分の穴埋め」です。全体を見渡すと大変ですが、まずは弱点になりそうな未着手の項目から優先的に始めることが、現実的なアプローチになります」（村田氏）