経済産業省が2026年度下期に運用を開始する 「サプライチェーン強化に向けたセキュリティ対策評価制度」 は、企業のサイバーセキュリティ対策を★1〜★5の5段階で格付けする新制度だ。対象は大企業だけではない。サプライチェーンに関わるすべての企業――つまり中小企業も含まれる。
「うちは狙われない」「セキュリティは大企業の話」と考えていた企業にとって、この制度は取引継続のための新たな条件になりうる。本記事では、管理部門の責任者が押さえるべき制度の全体像、★レベル別の要件、中小企業に求められる具体的な準備ステップを解説する。
制度の背景と目的
サプライチェーン攻撃の深刻化
2022年の小島プレス工業(トヨタ取引先)のランサムウェア被害以降、サプライチェーンを経由したサイバー攻撃は年々増加している。IPA「情報セキュリティ10大脅威 2026」でも「サプライチェーンの弱点を悪用した攻撃」が上位にランクインし続けている。
攻撃者にとって、セキュリティが手薄な中小企業は大企業のネットワークへの「入口」だ。1社の脆弱性が、サプライチェーン全体の操業停止を引き起こす。
経産省が制度化に踏み切った理由
横にスクロールして確認できます
| 背景 | 詳細 |
|---|---|
| サプライチェーン攻撃の急増 | 中小企業を踏み台にした大企業への攻撃が常態化 |
| 対策レベルの「見える化」が不在 | 取引先のセキュリティ水準を客観的に評価する基準がなかった |
| 海外制度との整合 | 米国CMMC(サイバーセキュリティ成熟度モデル認証)等、諸外国で同様の制度が先行 |
| 経済安全保障の強化 | 重要インフラ・防衛産業のサプライチェーン防護が国策として加速 |
経産省は2025年4月に制度の骨子を公表し、2026年度下期からの段階的運用を目指している。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
★1〜★5 レベル別の要件
制度の中核は、企業のセキュリティ対策を5段階で評価する仕組みだ。
横にスクロールして確認できます
| ★レベル | 対象企業 | 求められる対策 | 評価方法 | 想定される要求場面 |
|---|---|---|---|---|
| ★1 | 全企業(最低限) | 自己宣言による基本対策の実施 | 自己評価 | サプライチェーン参加の最低条件 |
| ★2 | 中小企業〜中堅 | ★1に加え、一定の技術的対策を実施 | 自己評価 | 取引先からの一般的な要求水準 |
| ★3 | 中堅〜大企業 | 組織的・技術的対策の体系的な実施 | 第三者評価 | 重要データを扱う取引の条件 |
| ★4 | 大企業・重要インフラ | 高度なセキュリティ管理体制の構築 | 第三者評価 | 防衛・重要インフラ関連取引 |
| ★5 | 重要インフラ・政府関連 | 最高水準のセキュリティガバナンス | 第三者評価(高度) | 政府調達・国家安全保障関連 |
★1〜★2:自己評価で取得可能
★1と★2は 自己評価(セルフチェック) による取得が想定されている。中小企業の多くがまず目指すべきはこのレベルだ。具体的には以下のような対策が求められる。
横にスクロールして確認できます
| 対策項目 | ★1 | ★2 |
|---|---|---|
| OS・ソフトウェアのアップデート | 必須 | 必須 |
| ウイルス対策ソフトの導入 | 必須 | 必須 |
| パスワードの強化 | 必須 | 必須 |
| 共有設定の見直し | 必須 | 必須 |
| 脅威・攻撃の手口の理解 | 必須 | 必須 |
| バックアップの実施 | ― | 必須 |
| アクセス制御の設定 | ― | 必須 |
| セキュリティパッチの定期適用 | ― | 必須 |
| インシデント対応手順の整備 | ― | 推奨 |
★3以上:第三者評価が必要
★3からは 第三者機関による評価 が求められる。自社だけでは取得できず、評価に一定のコストと準備期間が必要になる。
横にスクロールして確認できます
| 評価項目例(★3) | 内容 |
|---|---|
| 情報セキュリティポリシーの策定 | 文書化されたポリシーが存在し、経営層の承認を得ているか |
| リスクアセスメントの実施 | 定期的にリスク評価を行い、対策を見直しているか |
| インシデント対応体制 | CSIRTまたは同等の体制が整備されているか |
| 従業員教育 | セキュリティ意識向上のための教育を定期実施しているか |
| サプライチェーン管理 | 自社の取引先に対してもセキュリティ要件を設定しているか |
| 技術的対策 | ファイアウォール、EDR、ログ監視等の技術的措置が実装されているか |
中小企業への影響
取引条件としての「★レベル」
この制度が中小企業にとって切実な問題になる理由は、★レベルが取引条件になる 可能性が高いからだ。
大手企業がサプライチェーン全体のセキュリティを担保するために、「取引先は★2以上を取得すること」といった条件を設定する流れは、制度運用開始後に加速すると見られている。トレンドマイクロの分析でも、大企業のサプライチェーン管理において取引先のセキュリティ評価を義務付ける動きが強まっていることが指摘されている。
「対岸の火事」ではない理由
横にスクロールして確認できます
| よくある認識 | 実態 |
|---|---|
| うちは小さいから狙われない | 中小企業はセキュリティが手薄だからこそ「狙われる」 |
| ITは外注しているから大丈夫 | 外注先の管理体制も評価対象になりうる |
| 制度は大企業の話 | ★1〜★2は全企業が対象。取引継続のための最低条件になる |
| まだ先の話 | 2026年度下期開始。準備期間は実質的に残り少ない |
制度未対応のリスク
- 取引機会の喪失: ★レベル未取得を理由に取引先から除外される
- 入札・調達からの排除: 政府調達や公共事業で★レベルが要件化される見通し
- インシデント発生時の責任加重: 対策水準が「見える化」された後の未対応は、過失の度合いを重くする
- サイバー保険の条件悪化: 保険会社が★レベルを保険料算定の基準にする可能性
中小企業の準備ステップ
ステップ1:現状把握(1〜2週間)
まず自社のセキュリティ対策の現状を棚卸しする。
横にスクロールして確認できます
| 確認項目 | チェック内容 |
|---|---|
| IT資産の把握 | PC、サーバー、ネットワーク機器の一覧を作成しているか |
| OS・ソフトウェアの更新状況 | Windows Update、アプリケーションの更新は定期的に行っているか |
| ウイルス対策 | 全端末にウイルス対策ソフトが導入・更新されているか |
| パスワード管理 | 初期パスワードのまま使用していないか。使い回しはないか |
| バックアップ | 重要データのバックアップを定期的に取得しているか |
| アクセス権限 | 退職者のアカウントが残っていないか。権限は最小限か |
ステップ2:★1レベルの対策を実施(2〜4週間)
現状把握で判明したギャップを埋める。★1の要件は「情報セキュリティ5か条」(IPA)に準拠しており、専門知識がなくても対応可能な内容が中心だ。
- OS・ソフトウェアを最新状態に更新する
- ウイルス対策ソフトを全端末に導入し、自動更新を有効化する
- パスワードを強固なものに変更する(12文字以上、英数字記号の組み合わせ)
- 共有設定を見直し、不要な共有フォルダやクラウドの公開設定を閉じる
- サイバー攻撃の最新手口を従業員に共有する
ステップ3:★2レベルの対策を追加(1〜3か月)
★1をクリアしたら、★2の追加要件に取り組む。
横にスクロールして確認できます
| 追加対策 | 具体的なアクション |
|---|---|
| バックアップの3-2-1ルール | 元データ + 2つのバックアップ。1つはオフサイトに保管 |
| アクセス制御 | 業務に必要な最小限の権限のみを付与する |
| セキュリティパッチの定期適用 | 月1回のパッチ適用日を設定し、運用ルール化する |
| ログの保存 | ファイアウォール・サーバーのログを最低90日間保存する |
| インシデント対応手順書の作成 | 「異常を発見したら誰に連絡するか」を文書化する |
ステップ4:★3以上を目指す場合(3〜6か月)
取引先から★3の取得を求められた場合、または重要データを扱う業務がある場合は、以下の準備が必要になる。
- 情報セキュリティポリシーの策定: 経営層の承認を得た文書として整備する
- リスクアセスメントの実施: 資産の洗い出し → 脅威の特定 → リスク評価 → 対策計画
- 従業員教育の体系化: 年1回以上のセキュリティ研修を実施し、記録を残す
- 第三者評価の準備: 評価機関の選定と事前相談を行う
サイバーセキュリティお助け隊サービスの活用
経産省とIPA(情報処理推進機構)は、中小企業のセキュリティ対策を支援する 「サイバーセキュリティお助け隊サービス」 を推進している。このサービスは、セキュリティ対策評価制度への対応を後押しするものとして位置づけられている。
お助け隊サービスの概要
横にスクロールして確認できます
| 項目 | 内容 |
|---|---|
| 対象 | 中小企業(原則として従業員300人以下) |
| 提供内容 | 相談窓口 + 異常監視 + 緊急対応 + 簡易保険 をワンパッケージで提供 |
| 費用 | 認定事業者、端末数、サービス範囲、初動支援の有無で変動 |
| 認定事業者 | IPAが審査・登録した民間のセキュリティベンダー |
| 制度との関連 | お助け隊の利用が★1〜★2の取得要件の一部を満たす可能性 |
お助け隊サービスで受けられる支援
横にスクロールして確認できます
| サービス内容 | 詳細 |
|---|---|
| IT資産の見える化 | ネットワークに接続されている機器を自動検出・一覧化 |
| 異常検知・監視 | 不審な通信や攻撃の兆候をリアルタイムで監視 |
| 相談窓口 | セキュリティに関する問い合わせに専門家が対応 |
| 駆けつけ対応 | インシデント発生時の初動対応を支援 |
| 簡易サイバー保険 | 被害発生時の損害を一定額まで補償 |
PCA(ピー・シー・エー)やJBCC等のITベンダーも、お助け隊サービスの認定事業者としてサービスを提供しており、既存のIT顧問やシステム保守ベンダー経由で導入できるケースが多い。
活用できる補助金・支援制度
セキュリティ対策にはコストがかかるが、複数の補助金・支援制度を活用することで負担を抑えられる。
横にスクロールして確認できます
| 補助金・支援制度 | 対象 | 補助率・内容 |
|---|---|---|
| IT導入補助金(セキュリティ対策推進枠) | 中小企業のセキュリティサービス導入 | 費用の1/2(上限100万円)、最大2年分 |
| デジタル化・AI導入補助金2026 | セキュリティ関連ツール・サービス | 1/2〜4/5 |
| 小規模事業者持続化補助金 | セキュリティ対策を含む経営改善 | 2/3(上限50万円〜200万円) |
| サイバーセキュリティお助け隊サービス | 監視・相談・保険等を含む認定サービス | サービス条件とGXO支援範囲を分けて確認 |
| 事業継続力強化計画の認定 | BCP策定済み企業 | 低利融資、税制優遇、補助金加点 |
IT導入補助金(セキュリティ対策推進枠)の活用ポイント
セキュリティ対策推進枠は、お助け隊サービスの利用費用が対象になり得る。ただし、評価制度対応、社内体制整備、復旧計画、Webサイト改修、月次運用伴走は別途設計が必要である。補助対象サービスの導入だけで十分と誤解しないよう、商談時には対象範囲と成果物を分けて確認する。
制度対応のスケジュール目安
横にスクロールして確認できます
| 時期 | やるべきこと |
|---|---|
| 2026年4〜6月 | 現状把握、IT資産の棚卸し、セキュリティ診断の実施 |
| 2026年7〜9月 | ★1〜★2の要件に基づく対策の実施、お助け隊サービスの導入検討 |
| 2026年10月〜 | 制度運用開始。★レベルの自己評価(★1〜★2)を実施 |
| 2027年以降 | 取引先からの★レベル要求が本格化。★3以上が必要な場合は第三者評価へ |
制度開始後に慌てて対応を始めると、取引先からの要求に間に合わない可能性がある。今の段階から準備を始めることが、取引維持のリスクヘッジになる。
まとめ
横にスクロールして確認できます
| 項目 | ポイント |
|---|---|
| 制度名 | サプライチェーン強化に向けたセキュリティ対策評価制度 |
| 開始時期 | 2026年度下期(段階的運用) |
| 評価段階 | ★1〜★5の5段階。★1〜★2は自己評価、★3以上は第三者評価 |
| 対象 | サプライチェーンに関わる全企業(中小企業を含む) |
| 中小企業の当面の目標 | まず★1〜★2を取得し、取引継続の最低条件を満たす |
| コスト対策 | IT導入補助金(セキュリティ対策推進枠)+お助け隊サービスの併用 |
セキュリティ対策評価制度は、「やっていない企業」が不利益を被る仕組みだ。逆に言えば、早期に対応した企業は取引先からの信頼を獲得し、競合との差別化につながる。まずは現状のセキュリティ診断から始めたい。
セキュリティ診断から評価制度対応まで、一貫して支援します
「自社が★いくつに該当するのか分からない」「何から始めればいいか分からない」という方へ。現状のセキュリティ診断から、★レベル取得に向けた対策立案・実行支援まで対応します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
実務判断のポイント
この記事は、経営者、CIO、情シス、セキュリティ担当、開発責任者向けです。脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。経産省セキュリティ対策評価制度とは|2026年度開始の★1〜5評価と中小企業の準備ガイドに関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、診断、監査、保守契約、月次レポート、緊急対応支援へ接続。さらに、チェックリスト型診断を入口に、継続監視・改善支援へ展開。
実行までの進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
FAQ
まず何から確認すべきですか?
最初に確認すべきなのは、対象業務、対象データ、責任者、判断期限です。情報収集だけで終えると、導入可否や対応優先順位を決められません。
社内だけで進めるべきですか?
既存業務の棚卸しは社内で進められます。ただし、要件定義、セキュリティ、費用対効果、ベンダー比較が絡む場合は、外部視点を入れた方が手戻りを抑えやすくなります。
GXOにはどの段階で相談できますか?
構想段階、予算化前、RFP作成前、既存システムの見直し段階から相談できます。脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応の相談を入口に、実装や運用改善まで整理できます。
参考情報
- 制度、価格、仕様、脆弱性、法務、セキュリティに関する判断は、公開時点の公式情報と一次情報を確認したうえで更新してください。






