経済産業省が2026年度下期に運用を開始する 「サプライチェーン強化に向けたセキュリティ対策評価制度」 は、企業のサイバーセキュリティ対策を★1〜★5の5段階で格付けする新制度だ。対象は大企業だけではない。サプライチェーンに関わるすべての企業――つまり中小企業も含まれる。
「うちは狙われない」「セキュリティは大企業の話」と考えていた企業にとって、この制度は取引継続のための新たな条件になりうる。本記事では、管理部門の責任者が押さえるべき制度の全体像、★レベル別の要件、中小企業に求められる具体的な準備ステップを解説する。
制度の背景と目的
サプライチェーン攻撃の深刻化
2022年の小島プレス工業(トヨタ取引先)のランサムウェア被害以降、サプライチェーンを経由したサイバー攻撃は年々増加している。IPA「情報セキュリティ10大脅威 2026」でも「サプライチェーンの弱点を悪用した攻撃」が上位にランクインし続けている。
攻撃者にとって、セキュリティが手薄な中小企業は大企業のネットワークへの「入口」だ。1社の脆弱性が、サプライチェーン全体の操業停止を引き起こす。
経産省が制度化に踏み切った理由
| 背景 | 詳細 |
|---|---|
| サプライチェーン攻撃の急増 | 中小企業を踏み台にした大企業への攻撃が常態化 |
| 対策レベルの「見える化」が不在 | 取引先のセキュリティ水準を客観的に評価する基準がなかった |
| 海外制度との整合 | 米国CMMC(サイバーセキュリティ成熟度モデル認証)等、諸外国で同様の制度が先行 |
| 経済安全保障の強化 | 重要インフラ・防衛産業のサプライチェーン防護が国策として加速 |
★1〜★5 レベル別の要件
制度の中核は、企業のセキュリティ対策を5段階で評価する仕組みだ。
| ★レベル | 対象企業 | 求められる対策 | 評価方法 | 想定される要求場面 |
|---|---|---|---|---|
| ★1 | 全企業(最低限) | 自己宣言による基本対策の実施 | 自己評価 | サプライチェーン参加の最低条件 |
| ★2 | 中小企業〜中堅 | ★1に加え、一定の技術的対策を実施 | 自己評価 | 取引先からの一般的な要求水準 |
| ★3 | 中堅〜大企業 | 組織的・技術的対策の体系的な実施 | 第三者評価 | 重要データを扱う取引の条件 |
| ★4 | 大企業・重要インフラ | 高度なセキュリティ管理体制の構築 | 第三者評価 | 防衛・重要インフラ関連取引 |
| ★5 | 重要インフラ・政府関連 | 最高水準のセキュリティガバナンス | 第三者評価(高度) | 政府調達・国家安全保障関連 |
★1〜★2:自己評価で取得可能
★1と★2は 自己評価(セルフチェック) による取得が想定されている。中小企業の多くがまず目指すべきはこのレベルだ。具体的には以下のような対策が求められる。
| 対策項目 | ★1 | ★2 |
|---|---|---|
| OS・ソフトウェアのアップデート | 必須 | 必須 |
| ウイルス対策ソフトの導入 | 必須 | 必須 |
| パスワードの強化 | 必須 | 必須 |
| 共有設定の見直し | 必須 | 必須 |
| 脅威・攻撃の手口の理解 | 必須 | 必須 |
| バックアップの実施 | ― | 必須 |
| アクセス制御の設定 | ― | 必須 |
| セキュリティパッチの定期適用 | ― | 必須 |
| インシデント対応手順の整備 | ― | 推奨 |
★3以上:第三者評価が必要
★3からは 第三者機関による評価 が求められる。自社だけでは取得できず、評価に一定のコストと準備期間が必要になる。
| 評価項目例(★3) | 内容 |
|---|---|
| 情報セキュリティポリシーの策定 | 文書化されたポリシーが存在し、経営層の承認を得ているか |
| リスクアセスメントの実施 | 定期的にリスク評価を行い、対策を見直しているか |
| インシデント対応体制 | CSIRTまたは同等の体制が整備されているか |
| 従業員教育 | セキュリティ意識向上のための教育を定期実施しているか |
| サプライチェーン管理 | 自社の取引先に対してもセキュリティ要件を設定しているか |
| 技術的対策 | ファイアウォール、EDR、ログ監視等の技術的措置が実装されているか |
中小企業への影響
取引条件としての「★レベル」
この制度が中小企業にとって切実な問題になる理由は、★レベルが取引条件になる 可能性が高いからだ。
大手企業がサプライチェーン全体のセキュリティを担保するために、「取引先は★2以上を取得すること」といった条件を設定する流れは、制度運用開始後に加速すると見られている。トレンドマイクロの分析でも、大企業のサプライチェーン管理において取引先のセキュリティ評価を義務付ける動きが強まっていることが指摘されている。
「対岸の火事」ではない理由
| よくある認識 | 実態 |
|---|---|
| うちは小さいから狙われない | 中小企業はセキュリティが手薄だからこそ「狙われる」 |
| ITは外注しているから大丈夫 | 外注先の管理体制も評価対象になりうる |
| 制度は大企業の話 | ★1〜★2は全企業が対象。取引継続のための最低条件になる |
| まだ先の話 | 2026年度下期開始。準備期間は実質的に残り少ない |
制度未対応のリスク
- 取引機会の喪失: ★レベル未取得を理由に取引先から除外される
- 入札・調達からの排除: 政府調達や公共事業で★レベルが要件化される見通し
- インシデント発生時の責任加重: 対策水準が「見える化」された後の未対応は、過失の度合いを重くする
- サイバー保険の条件悪化: 保険会社が★レベルを保険料算定の基準にする可能性
中小企業の準備ステップ
ステップ1:現状把握(1〜2週間)
まず自社のセキュリティ対策の現状を棚卸しする。
| 確認項目 | チェック内容 |
|---|---|
| IT資産の把握 | PC、サーバー、ネットワーク機器の一覧を作成しているか |
| OS・ソフトウェアの更新状況 | Windows Update、アプリケーションの更新は定期的に行っているか |
| ウイルス対策 | 全端末にウイルス対策ソフトが導入・更新されているか |
| パスワード管理 | 初期パスワードのまま使用していないか。使い回しはないか |
| バックアップ | 重要データのバックアップを定期的に取得しているか |
| アクセス権限 | 退職者のアカウントが残っていないか。権限は最小限か |
ステップ2:★1レベルの対策を実施(2〜4週間)
現状把握で判明したギャップを埋める。★1の要件は「情報セキュリティ5か条」(IPA)に準拠しており、専門知識がなくても対応可能な内容が中心だ。
- OS・ソフトウェアを最新状態に更新する
- ウイルス対策ソフトを全端末に導入し、自動更新を有効化する
- パスワードを強固なものに変更する(12文字以上、英数字記号の組み合わせ)
- 共有設定を見直し、不要な共有フォルダやクラウドの公開設定を閉じる
- サイバー攻撃の最新手口を従業員に共有する
ステップ3:★2レベルの対策を追加(1〜3か月)
★1をクリアしたら、★2の追加要件に取り組む。
| 追加対策 | 具体的なアクション |
|---|---|
| バックアップの3-2-1ルール | 元データ + 2つのバックアップ。1つはオフサイトに保管 |
| アクセス制御 | 業務に必要な最小限の権限のみを付与する |
| セキュリティパッチの定期適用 | 月1回のパッチ適用日を設定し、運用ルール化する |
| ログの保存 | ファイアウォール・サーバーのログを最低90日間保存する |
| インシデント対応手順書の作成 | 「異常を発見したら誰に連絡するか」を文書化する |
ステップ4:★3以上を目指す場合(3〜6か月)
取引先から★3の取得を求められた場合、または重要データを扱う業務がある場合は、以下の準備が必要になる。
- 情報セキュリティポリシーの策定: 経営層の承認を得た文書として整備する
- リスクアセスメントの実施: 資産の洗い出し → 脅威の特定 → リスク評価 → 対策計画
- 従業員教育の体系化: 年1回以上のセキュリティ研修を実施し、記録を残す
- 第三者評価の準備: 評価機関の選定と事前相談を行う
サイバーセキュリティお助け隊サービスの活用
経産省とIPA(情報処理推進機構)は、中小企業のセキュリティ対策を支援する 「サイバーセキュリティお助け隊サービス」 を推進している。このサービスは、セキュリティ対策評価制度への対応を後押しするものとして位置づけられている。
お助け隊サービスの概要
| 項目 | 内容 |
|---|---|
| 対象 | 中小企業(原則として従業員300人以下) |
| 提供内容 | 相談窓口 + 異常監視 + 緊急対応 + 簡易保険 をワンパッケージで提供 |
| 費用 | 月額1万円〜(端末数やサービス範囲により変動) |
| 認定事業者 | IPAが審査・登録した民間のセキュリティベンダー |
| 制度との関連 | お助け隊の利用が★1〜★2の取得要件の一部を満たす可能性 |
お助け隊サービスで受けられる支援
| サービス内容 | 詳細 |
|---|---|
| IT資産の見える化 | ネットワークに接続されている機器を自動検出・一覧化 |
| 異常検知・監視 | 不審な通信や攻撃の兆候をリアルタイムで監視 |
| 相談窓口 | セキュリティに関する問い合わせに専門家が対応 |
| 駆けつけ対応 | インシデント発生時の初動対応を支援 |
| 簡易サイバー保険 | 被害発生時の損害を一定額まで補償 |
活用できる補助金・支援制度
セキュリティ対策にはコストがかかるが、複数の補助金・支援制度を活用することで負担を抑えられる。
| 補助金・支援制度 | 対象 | 補助率・内容 |
|---|---|---|
| IT導入補助金(セキュリティ対策推進枠) | 中小企業のセキュリティサービス導入 | 費用の1/2(上限100万円)、最大2年分 |
| デジタル化・AI導入補助金2026 | セキュリティ関連ツール・サービス | 1/2〜4/5 |
| 小規模事業者持続化補助金 | セキュリティ対策を含む経営改善 | 2/3(上限50万円〜200万円) |
| サイバーセキュリティお助け隊サービス | 監視・相談・保険の一体型サービス | 月額1万円〜で包括的な対策が可能 |
| 事業継続力強化計画の認定 | BCP策定済み企業 | 低利融資、税制優遇、補助金加点 |
IT導入補助金(セキュリティ対策推進枠)の活用ポイント
セキュリティ対策推進枠は、お助け隊サービスの利用費用も補助対象になる。つまり、補助金を使ってお助け隊サービスを導入し、★レベルの取得を目指す という流れが最もコスト効率が高い。
制度対応のスケジュール目安
| 時期 | やるべきこと |
|---|---|
| 2026年4〜6月 | 現状把握、IT資産の棚卸し、セキュリティ診断の実施 |
| 2026年7〜9月 | ★1〜★2の要件に基づく対策の実施、お助け隊サービスの導入検討 |
| 2026年10月〜 | 制度運用開始。★レベルの自己評価(★1〜★2)を実施 |
| 2027年以降 | 取引先からの★レベル要求が本格化。★3以上が必要な場合は第三者評価へ |
まとめ
| 項目 | ポイント |
|---|---|
| 制度名 | サプライチェーン強化に向けたセキュリティ対策評価制度 |
| 開始時期 | 2026年度下期(段階的運用) |
| 評価段階 | ★1〜★5の5段階。★1〜★2は自己評価、★3以上は第三者評価 |
| 対象 | サプライチェーンに関わる全企業(中小企業を含む) |
| 中小企業の当面の目標 | まず★1〜★2を取得し、取引継続の最低条件を満たす |
| コスト対策 | IT導入補助金(セキュリティ対策推進枠)+お助け隊サービスの併用 |
セキュリティ診断から評価制度対応まで、一貫して支援します
「自社が★いくつに該当するのか分からない」「何から始めればいいか分からない」という方へ。現状のセキュリティ診断から、★レベル取得に向けた対策立案・実行支援まで対応します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK