サイバーインテリジェンス セキュリティマネジメント Summit
2025 Winter
インターネットイニシアティブ

セキュリティ対策評価制度から考える
目指すべき対策レベルとその実現手法

経済産業省が主導し、2026年度に本格運用を目指す「サプライチェーン強化に向けたセキュリティ対策評価制度」の検討が進められている。企業のセキュリティー対策状況を客観的に評価し可視化することで、サプライチェーン全体のセキュリティー強化を目指すのが狙いだ。2025年4月には概要を整理した「中間取りまとめ」が発表された。IIJの講演ではその概要と「何を、いつまでにやるのか」「それをどうやって実現していくのか」について考察された。

  • セキュリティ対策評価制度の
  • 背景と狙い

TOPへ
株式会社インターネットイニシアティブ サービスプロダクト推進本部 営業推進部 セキュリティソリューション課 西川 礁太氏
株式会社インターネットイニシアティブ
サービスプロダクト推進本部 営業推進部
セキュリティソリューション課
西川 礁太
 サプライチェーン攻撃がますます深刻化している。国内でも取引先の中小企業が狙われ、工場の操業停止や製品の出荷停止に追い込まれた事案が多数発生した。「サプライチェーン攻撃は自社の事業継続だけでなく、関連企業や一般の消費者にまで影響が及ぶ可能性を含んでいます。社会全体に与えるインパクトは非常に大きい」とインターネットイニシアティブ(以下、IIJ)の西川 礁太氏は指摘する。

 こうしたことから産業界では各社のセキュリティー対策状況の把握に努めている。しかし、ここに課題がある。「対策状況の確認には一般にチェックリストが使われますが、現状では標準といえるような対策基準が定まっていないのです」と西川氏は語る。

 その結果、受注企業は複数の発注企業から異なる対策水準を要求される。発注企業も明確な基準がないままチェックリストを作成し評価しなければならないため、取引先の対策状況を正確に把握できずにいる。

 そこで経済産業省が策定を進めているのが「サプライチェーン強化に向けたセキュリティ対策評価制度」(以下、セキュリティ対策評価制度)だ。取引先のセキュリティー対策状況を標準的な基準で客観的に評価し、それを可視化できるようにする。企業間でのセキュリティー対策状況の共有や、適切なセキュリティー対策の実施を促すことで、サプライチェーン全体のセキュリティー強化を目指す。

 発注企業は取引先に求めるセキュリティー対策の内容や水準の決定、実施状況の把握が容易になる。受注企業は発注企業に対して、自社のセキュリティー対策状況を客観的かつ正確に示すことができる。

 ただし、受注企業に対して求める対策レベルが、発注企業の“選定基準”として活用される可能性もある。対策レベルを満たせなければ、ビジネスへの影響も懸念される。チェックを受ける受注企業は制度対応を重要事項と位置付ける必要があるだろう。

  • 中間取りまとめから見えてきた
  • ポイントとは

 対策状況は5段階の「★」で評価する(図1)。★1と★2はIPAの中小企業向けセキュリティーアクションを流用する。セキュリティ対策評価制度の対象になるのは★3以降だ。
図1 セキュリティ対策評価制度の狙い 図1セキュリティ対策評価制度の狙い 業界横断でのサプライチェーンにおけるセキュリティー対策の評価指標となることを目指している。水準や項目は既存ガイドラインとの整合性を一定確保し、相互補完的な制度として発展していく
 2025年4月には概要を整理した「中間取りまとめ」が発表された。「★3は一般的なサイバー攻撃を想定しており、その対策の整備や管理ができていると自己評価できればよいとされています。具体的には自社IT基盤への脅威の侵入や侵害拡大への対策が求められます」と西川氏は説明する。

 ★4はサプライチェーン全体に対する脅威や影響を想定している。取引先やガバナンスを意識した対策・対応について、第三者評価を受ける。「取引先のシステムやデータを含む内外への被害拡大や、攻撃者による目的遂行のリスクを低減する対策が必要です。国際規格などに基づくマネジメントシステムの確立なども求められます」と西川氏は続ける。★5は★4の対策に加え、未知の攻撃も含めた高度なサイバー攻撃対策とサプライチェーン全体に寄与するセキュリティー対策が求められる。

 評価項目数は★3が25項目、★4は44項目が整備される。★5の項目数は検討中だ。実質的な評価対象として先行して機能してくるのが★3と★4である。発注者はサプライチェーンにおけるリスクに応じて、取引先に求めるレベルを定めることができる。そのためのレベル判断基準も用意されている。例えば「発注者の重要な機密情報が取引先IT基盤で取り扱われるか?」という評価軸でYesなら★4になる。

 各企業はレベルに応じて要求事項を実現していく。この達成状況を評価することで、自社のセキュリティー対策状況を客観的に示せるようになるわけだ。

 ★3と★4どちらのレベルでも要求事項のカテゴリーは3つある。「経営の責任」「サプライチェーンの防御」「IT基盤の防御」だ。経営の責任としては自社IT基盤の現状把握、リスク管理体制の構築、インシデント対応手順の整備などが求められる。サプライチェーンの防御は取引先などに課す最低限のルールの明確化や取引先などとの役割と責任の明確化など、IT基盤の防御は不正アクセスに対する防御や迅速な異常の検知などだ。

 ★3は比較的ベーシックな対策だが、★4はその一歩先を求める。インシデント発生後の復旧まで見据えることや、多層的な防御なども必要になる。「自社が該当するレベルで取り組むべき要求事項は何か、どういった考え方で向き合うべきか、ということを事前に把握しておくことが重要です」と西川氏は主張する。

  • 無料のワークショップで
  • 対応策を支援

 セキュリティ対策評価制度は、★3で1年、★4で3年と有効期限が設けられる方向だ。期限が来れば再評価が必要になるため、評価体制を準備しておく必要がある。運用開始は2026年10月以降の予定で、2025年の秋ごろに要求事項・評価基準・評価スキームが確定する見込みだ。企業が対応方針の検討と準備を進める期間は実質1年に満たない。

 限られた時間の中で企業は何をすべきか。「まず中間取りまとめを確認したり、多方面から情報を収集し、制度を理解したりする。次に現状の対策を可視化する。そして対策の優先度を決めて、できるところから対策を強化していくことが肝要です」と西川氏は提案する。

 しかし、やるべきことは分かっても、どうすればいいか分からないという企業も少なくない。現状の対策を可視化し、課題を洗い出し、目指す姿とのギャップを考慮していくにはナレッジも必要になる。

 こうした企業を支援するため、IIJが提供しているのが「IIJ Sketch & Draw Workshop」である。これは自社が抱えるセキュリティーの課題を深掘りし、今後の方策を検討していく無料のワークショップだ。ワークショップは3日間行う(図2)。その内容は非常に実践的だ。「最新セキュリティートレンドを日々分析しているスペシャリストが同席し、最新のトレンド分析を基に、現状対策の“鮮度”をチェックします」(西川氏)。
図2 「IIJ Sketch & Draw Workshop」の概要 図2「IIJ Sketch & Draw Workshop」の概要 課題をヒアリングし、課題に沿ったナレッジを紹介する。さらにセキュリティー対策の“鮮度”をチェックし、分析結果をレポートする。見直しが必要な箇所があれば明確化し、その対応策も共に考えていく
 ワークショップ後は分析結果レポートや推奨対策のグランドデザイン、対策実施ロードマップなどを提供する。「“鮮度”をチェックした上でAs IsとTo Beを明確にし、次にどうすればいいかというデザインやロードマップを参加された企業様と共につくり上げていきます」と西川氏は続ける。

 既に150社以上の実施実績があり、満足度も非常に高い。実際に実施した物流業界の顧客企業は、ワークショップを受講したことで、自社のセキュリティー対策状況を客観的に知ることができ、足りないところを埋めていくには何をすべきかという“道しるべ”が明確になったという。必要性を理解した上でEDRとSOCサービスを導入したため、適切な運用が可能になり、セキュリティーもより強固なものになったという。

 セキュリティ対策評価制度の本格運用に備えるには、現状の対策の“鮮度”をチェックし、必要な対策を明確化することが欠かせない。もし自社のセキュリティー対策で悩んでいるなら受講を検討してみてはいかがだろうか。
関連リンク
お問い合わせ
株式会社インターネットイニシアティブ 法人向けサービス・ソリューションお問い合わせ
URL:https://biz.iij.jp/public/application/add/33
TEL:03-5205-4466
PAGETOP