経済産業省が2026年度に運用を開始する 「サプライチェーン強化に向けたセキュリティ対策評価制度」 は、企業のサイバーセキュリティ対策を ★1〜★5の5段階 で格付けする新制度だ。大企業だけの話ではない。サプライチェーンに関わるすべての企業――つまり中小企業も直接の影響を受ける。
IPA「情報セキュリティ10大脅威 2026」ではサプライチェーン攻撃が上位に入り続けており、2022年の小島プレス工業(トヨタ取引先)の事例以降、大企業が取引先にセキュリティ対策を求める動きは年々加速している。本記事では、制度の全体像と、中小企業が2026年度中に準備すべき具体的なアクションを解説する。
目次
- 制度概要:なぜ「見える化」が必要になったのか
- ★1〜★5の評価基準
- なぜ中小企業に影響するのか
- ★3(標準)取得のための15項目チェックリスト
- SECURITY ACTION自己宣言制度との関係
- 6か月準備ロードマップ
- FAQ
- まとめ
制度概要:なぜ「見える化」が必要になったのか
背景
| 要因 | 詳細 |
|---|---|
| サプライチェーン攻撃の急増 | セキュリティが手薄な中小企業を踏み台に、大企業のネットワークへ侵入する攻撃が常態化 |
| 対策レベルの「見える化」不在 | 取引先のセキュリティ水準を客観的に評価する共通基準がなかった |
| 海外制度との整合 | 米国CMMC(Cybersecurity Maturity Model Certification)等、諸外国で同様の格付け制度が先行 |
| 経済安全保障の強化 | 重要インフラ・防衛産業のサプライチェーン防護が国策として加速 |
制度の基本構造
- 評価段階: ★1(最低限)〜★5(最高水準)の5段階
- 評価方法: ★1〜★2は自己評価、★3以上は第三者評価
- 対象: サプライチェーンに関わるすべての企業(業種・規模を問わない)
- 運用主体: 経済産業省が制度設計、IPAが実務を担う見込み
★1〜★5の評価基準
| ★レベル | 対象企業イメージ | 求められる対策 | 評価方法 | 想定される要求場面 |
|---|---|---|---|---|
| ★1 | 全企業(最低限) | 自己宣言による基本対策の実施 | 自己評価 | サプライチェーン参加の最低条件 |
| ★2 | 中小企業〜中堅 | ★1に加え、技術的対策の実施 | 自己評価 | 取引先からの一般的なセキュリティ要求 |
| ★3 | 中堅〜大企業 | 組織的・技術的対策の体系的実施 | 第三者評価 | 重要データを扱う取引の条件 |
| ★4 | 大企業・重要インフラ | 高度なセキュリティ管理体制 | 第三者評価 | 防衛・重要インフラ関連取引 |
| ★5 | 重要インフラ・政府関連 | 最高水準のセキュリティガバナンス | 第三者評価(高度) | 政府調達・国家安全保障関連 |
★1の要件(全企業の最低ライン)
IPAの「情報セキュリティ5か条」に対応する基本対策だ。
- OS・ソフトウェアを常に最新の状態にする
- ウイルス対策ソフトを導入する
- パスワードを強化する
- 共有設定を見直す
- 脅威や攻撃の手口を知る
★2の追加要件
★1に加え、以下の技術的対策が求められる。
- バックアップの定期実施
- アクセス制御の設定
- セキュリティパッチの定期適用
- ログの取得・保管
- インシデント対応手順の整備(推奨)
★3の要件(第三者評価が必要)
★3からは自己評価では不十分で、第三者機関による客観的な評価が必要になる。
| 評価カテゴリ | 主な評価項目 |
|---|---|
| 組織的対策 | 情報セキュリティポリシーの策定と経営層承認、リスクアセスメントの定期実施 |
| 人的対策 | 従業員教育の定期実施、セキュリティ責任者の任命 |
| 技術的対策 | ファイアウォール、EDR、ログ監視、MFA、暗号化 |
| 物理的対策 | サーバー室の入退室管理、端末の施錠管理 |
| サプライチェーン管理 | 自社の取引先に対するセキュリティ要件の設定 |
| インシデント対応 | CSIRT(または同等体制)の整備、対応手順の文書化と訓練 |
なぜ中小企業に影響するのか
取引条件としての★レベル
この制度が中小企業にとって切実な理由は、★レベルが事実上の取引条件になる 可能性が高いことだ。
大企業がサプライチェーン全体のセキュリティを担保するために、取引先に「★2以上の取得」を求める流れは制度運用開始後に加速すると見られている。すでに自動車業界・防衛産業では取引先へのセキュリティ基準遵守の要求が進んでおり、評価制度はこの動きに公的な基盤を与える。
制度未対応のリスク
| リスク | 影響度 | 発生時期 |
|---|---|---|
| 取引機会の喪失 | 高 | 制度運用開始後(2026年度下期〜) |
| 入札・公共調達からの排除 | 高 | 政府調達要件化後 |
| インシデント発生時の責任加重 | 中〜高 | 対策水準が「見える化」された後 |
| サイバー保険の条件悪化 | 中 | 保険会社が★レベルを保険料算定に反映した後 |
| 取引先からの信頼低下 | 中 | 競合他社が★取得を進めた後 |
★3(標準)取得のための15項目チェックリスト
大企業の重要取引先として求められる★3水準の対策項目を15項目で整理した。
組織的対策(4項目)
| # | チェック項目 | 対応状況 |
|---|---|---|
| 1 | 情報セキュリティポリシーを策定し、経営層が承認しているか | |
| 2 | リスクアセスメントを年1回以上実施しているか | |
| 3 | 情報セキュリティ責任者(CISO相当)を任命しているか | |
| 4 | セキュリティ関連の予算を年度計画に組み込んでいるか |
人的対策(3項目)
| # | チェック項目 | 対応状況 |
|---|---|---|
| 5 | 全従業員向けのセキュリティ教育を年2回以上実施しているか | |
| 6 | 入社時・退職時のアカウント管理手順が文書化されているか | |
| 7 | 標的型メール訓練(模擬フィッシング)を年1回以上実施しているか |
技術的対策(5項目)
| # | チェック項目 | 対応状況 |
|---|---|---|
| 8 | VPN・クラウドサービスにMFA(多要素認証)を導入しているか | |
| 9 | EDR(エンドポイント検知・対応)を全端末に導入しているか | |
| 10 | ファイアウォールのログを90日以上保管し、定期的に確認しているか | |
| 11 | バックアップを3-2-1ルールで実施し、月1回リストアテストを行っているか | |
| 12 | 脆弱性情報の収集とパッチ適用を定期的に実施しているか |
インシデント対応・サプライチェーン管理(3項目)
| # | チェック項目 | 対応状況 |
|---|---|---|
| 13 | インシデント対応計画(初動対応〜復旧〜報告)を文書化し、年1回訓練しているか | |
| 14 | 取引先(委託先)に対するセキュリティ要件を契約書に含めているか | |
| 15 | 個人情報・機密データの取り扱い規程を策定し、アクセス権限を最小限にしているか |
SECURITY ACTION自己宣言制度との関係
IPAが運用する SECURITY ACTION は、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度だ。
| 項目 | SECURITY ACTION | セキュリティ対策評価制度 |
|---|---|---|
| 運用主体 | IPA | 経産省(実務はIPA) |
| 評価段階 | ★1(一つ星)/ ★2(二つ星) | ★1〜★5 |
| 評価方法 | 自己宣言のみ | ★1〜2は自己評価、★3以上は第三者評価 |
| 費用 | 無料 | ★1〜2は無料(予定)、★3以上は評価費用が発生 |
| 取得メリット | IT導入補助金の申請要件 | 取引条件の充足、サプライチェーン参加の前提 |
実質的な対応関係
- SECURITY ACTION ★1 ≒ 評価制度の ★1 に相当
- SECURITY ACTION ★2 ≒ 評価制度の ★2 の基盤(ただし技術的対策の追加が必要)
推奨: まだSECURITY ACTIONの宣言を行っていない企業は、評価制度の準備として 今すぐ二つ星を宣言する ことを推奨する。IPAのサイトから無料で申請でき、IT導入補助金の申請要件にもなる。
6か月準備ロードマップ
★2取得を目標とした中小企業(従業員50名規模)向けの6か月ロードマップ。
月1:現状把握と方針決定
| タスク | 詳細 | 担当 |
|---|---|---|
| IPAの「5分でできる!自社診断」を実施 | 25項目の自己診断で現状のセキュリティレベルを数値化 | 経営者+IT担当 |
| SECURITY ACTION二つ星を宣言 | IPAサイトから申請(無料、即日〜数日で完了) | IT担当 |
| gBizIDプライムの取得申請 | 補助金申請に必要。取得まで2〜3週間かかる | 経営者 |
| 経営方針としてのセキュリティ投資決定 | 年間予算の確保(★2なら年間50〜100万円目安) | 経営者 |
月2:基本対策の実施
| タスク | 詳細 | コスト目安 |
|---|---|---|
| MFA(多要素認証)の全社展開 | Microsoft 365/Google Workspace+VPN | 月額0〜25,000円 |
| パスワードポリシーの策定と適用 | 12文字以上・使い回し禁止・パスワードマネージャー導入 | 月額0〜5,000円 |
| 共有設定の総点検 | ファイルサーバー、クラウドストレージのアクセス権限を見直し | 0円 |
月3:バックアップとパッチ管理
| タスク | 詳細 | コスト目安 |
|---|---|---|
| バックアップ体制の構築(3-2-1ルール) | NAS+クラウド+オフライン保管の3層構成 | 初期5〜10万円+月額3〜10万円 |
| パッチ管理の運用開始 | VPN機器・OS・アプリの定期パッチ適用ルール策定 | 月額15,000〜50,000円 |
| リストアテストの初回実施 | バックアップから実際にデータ復元できるか検証 | 0円(自社実施) |
月4:EDRとログ管理
| タスク | 詳細 | コスト目安 |
|---|---|---|
| EDRの全端末導入 | CrowdStrike Falcon Go、Microsoft Defender for Business等 | 月額25,000〜75,000円 |
| アクセスログの取得・保管開始 | ファイアウォール、VPN、クラウドサービスのログ設定 | 0〜月額10,000円 |
| IT導入補助金(セキュリティ対策推進枠)の申請 | 対象サービスの導入費用を補助率1/2でカバー | ― |
月5:教育とインシデント対応
| タスク | 詳細 | コスト目安 |
|---|---|---|
| 従業員セキュリティ研修の実施 | AI生成フィッシングの最新手口、パスワード管理、報告フロー | 10〜30万円 |
| インシデント対応計画の策定 | 初動対応〜復旧〜報告のフローを文書化 | 0〜50万円 |
| 模擬フィッシングテストの実施 | 全従業員対象の標的型メール訓練 | 5〜20万円 |
月6:総点検と評価準備
| タスク | 詳細 | コスト目安 |
|---|---|---|
| 自己チェックの再実施 | IPAの自社診断を再度実施し、改善を確認 | 0円 |
| セキュリティポリシーの文書化 | IPAのテンプレートを活用して正式文書を作成 | 0円 |
| ★レベルの自己評価と申請準備 | 制度の正式運用開始に合わせて申請 | ★2は無料(予定) |
FAQ
Q1. 制度はいつから始まりますか?
経産省の発表では 2026年度下期 からの段階的運用開始が予定されている。★1〜★2の自己評価は比較的早期に開始される見込みだが、★3以上の第三者評価の開始時期は評価機関の整備状況による。制度の詳細は経産省およびIPAの公式発表を確認してほしい。
Q2. 対応しないとどうなりますか?
法的な罰則は現時点では予定されていない。ただし、取引先の大企業が「★2以上」を取引条件に設定した場合、未対応の企業は 取引停止・新規受注の機会喪失 という実質的な不利益を被る。また、政府調達での★レベル要件化も見込まれている。
Q3. ★3以上の取得にはいくらかかりますか?
第三者評価の費用は制度の正式運用後に確定するが、類似制度(ISO 27001等)の審査費用から推定すると、初回評価で50〜200万円(企業規模・業種による)、維持審査で年間20〜80万円 程度と見込まれる。ただし★2までは自己評価で対応可能であり、まずは★2の取得を目標にすることが現実的だ。
Q4. ISO 27001(ISMS)を取得していれば対応不要ですか?
ISO 27001を取得している企業は★3以上の要件の多くをすでに満たしている可能性が高い。ただし、評価制度独自の要件(サプライチェーン管理の具体的項目等)が追加される可能性があるため、制度の正式要件が公表された段階でギャップ分析を行うことを推奨する。
Q5. 何から始めればいいですか?
今日できるアクションは3つ: (1) IPAの「5分でできる!自社診断」を実施して現状スコアを把握する、(2) SECURITY ACTION二つ星を宣言する(無料)、(3) gBizIDプライムを申請する(2〜3週間かかるため早めに)。この3つで準備の基盤が整う。
まとめ
| 項目 | ポイント |
|---|---|
| 制度名 | サプライチェーン強化に向けたセキュリティ対策評価制度 |
| 運用開始 | 2026年度下期(段階的) |
| 評価段階 | ★1〜★5(★1〜2は自己評価、★3以上は第三者評価) |
| 中小企業の目標 | まず★2(自己評価で取得可能) |
| 準備期間 | 6か月で★2取得可能 |
| 年間コスト目安 | ★2水準で年間50〜150万円(50名規模) |
| 最優先アクション | 自社診断の実施+SECURITY ACTION二つ星宣言 |
関連記事:経産省「セキュリティ対策評価制度」★1〜★5評価と中小企業の準備ガイド
関連記事:IPA 情報セキュリティ対策ガイドライン第4.0版|中小企業の対応ポイント
セキュリティ対策の見直し・強化をお考えですか?
GXOは中小企業のセキュリティ体制構築を支援しています。サプライチェーンセキュリティ対策評価制度への準備――現状診断から★レベル取得までのロードマップ策定、SECURITY ACTION宣言サポート、技術的対策の導入支援をワンストップで提供します。
※ まずは現状のリスク把握から | オンライン完結OK | 導入事例はこちら