「取引先からのセキュリティチェックの対応で、本来の業務が進まない……」
取引先ごとに異なるチェックシートのフォーマットや、膨大な質問項目への回答作業に、現場は疲弊していませんか?
2026年10月以降、この状況が大きく変わろうとしています。経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度」が本格稼働するためです。
この制度により、企業のセキュリティ対策状況が★(星)の数で格付けされ、そのランクが取引継続や新規契約の判断基準になる可能性があります。
本記事では、公開された最新の資料に基づき、製造業からITサービス業まで、あらゆる企業が知っておくべき「自社が目指すべきランク(★)」の判断方法と、最短距離で認定に近づくための準備について解説します。
経産省「セキュリティ対策評価制度」準備してますか? ⇒ 「インシデントに強い組織をつくる 新しい情報セキュリティ研修」の詳細を見る
AIで要約
- 2026年開始の経産省新制度は、企業のセキュリティを★で格付け。このランクが取引継続の「合否」を分ける基準となり、未対応は受注機会の損失に直結する死活問題です。
- 機密情報を扱う企業の目標は、第三者評価が必須の「★4」。★3は最低限の参加要件となり、自社の役割に応じた適切なランク取得が、信頼を勝ち取るための新常識となります。
- 技術対策に加え、ランク取得には「従業員教育」も不可欠。忘却を防ぐ分散学習で「人」の脆弱性を克服しましょう。制度開始に向け、今から始めるべき具体的ステップを解説します。
「サプライチェーン強化に向けたセキュリティ対策評価制度」とは
経済産業省が2026年度の制度開始を目指している「サプライチェーン強化に向けたセキュリティ対策評価制度」は、企業のセキュリティ対策状況をレベル(★1〜★5)ごとに格付けして、誰からも分かりやすくする制度です。各ランクの評価方法と必要な要件を以下にまとめました。
| ランク | 評価方法 | 必要な要件 |
|---|---|---|
| ★1 | 既存の「SECURITY ACTION(情報セキュリティ対策自己宣言)」 | 「情報セキュリティ5か条」への取り組み宣言 |
| ★2 | 既存の「SECURITY ACTION(情報セキュリティ対策自己宣言)」 | 情報セキュリティ自社診断+情報セキュリティ基本方針の策定・公開 |
| ★3 (Basic) | 自己評価・有効期間1年 | 基礎的な組織的対策とシステム防御策 |
| ★4 (Standard) | 第三者評価・有効期間3年 | 包括的・標準的なセキュリティ対策 |
| ★5 | 第三者評価 | 現時点でのベストプラクティスに基づく対策 (2026年度以降に検討予定) |
制度の狙い:統一基準による「見える化」
本制度が検討される背景として、近年、大企業そのものではなく、セキュリティ対策が手薄な取引先(中小企業など)を踏み台にして大企業を攻撃する「サプライチェーン攻撃」の深刻化があります。
現在、多くの発注企業はリスク管理のために、取引先の企業に個別のチェックシートへの対応を求めていますが、これは受発注双方にとって大きな負担となっています。
そこで、業界横断的な統一基準を設け、企業の対策状況を「★3(Basic)」「★4(Standard)」といった可視化された指標で評価することで、負担を軽減しつつサプライチェーン全体の信頼性を担保するのがこの制度の目的です。
この制度は、例えるなら「レストランの衛生検査」や「ミシュランガイド」のセキュリティ版のようなイメージです。特に、重要な機密情報や重要な業務の委託を受けるBPO企業や製造業、サプライチェーンを下支えするエンド層の企業にとっては、「セキュリティ対策が商売道具の一つになる」重要な転換点となります。
制度開始までのスケジュール
2025年12月時点では、経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」を公表、意見公募を開始した段階です。今後予定されているスケジュールは以下の通りです。
- 2025年12月:経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」を公表、意見公募を開始
- 2025年度:制度詳細化及び運用開始準備、試行運用(プレ運用)を行う可能性あり
- 2026年度下期(10月〜):本格的な制度開始を予定
- 運用開始後:各ランクの取得企業の公表
また、政府調達の入札要件に、この評価制度のランクが使われる可能性も検討されています。
経産省「セキュリティ対策評価制度」準備してますか? ⇒ 「インシデントに強い組織をつくる 新しい情報セキュリティ研修」の詳細を見る
自社が目指すべきセキュリティ対策評価制度のランクは?
セキュリティ対策評価制度の最大のポイントは、「自社が取りたいランク」ではなく、「取引先(発注元)が指定するランク」を取得する必要があるという点です。
以下の表で、各ランクの位置づけと、このランクが必要と想定されるケースを確認してみましょう。
セキュリティ対策評価制度のランク判断要素
| ランク | 位置づけ | このランクが必要と想定されるケース |
|---|---|---|
| ★1 ★2 | 準備段階 | 既存の「SECURITY ACTION (情報セキュリティ対策自己宣言)」相当 |
| ★3 | 必須ライン (Basic) | サプライチェーンに参加する全企業が最低限クリアすべきライン (事実上の「取引参加要件」となる) |
| ★4 | 標準目標 (Standard) | 以下のいずれかにあてはまる場合 ①取引先の「重要な機密情報」を扱っている ②自社の事業停止が、発注者の業務に「許容できない遅延」を生む ③自社環境から、発注者の内部システムへアクセス可能(保守回線、VPN接続など) |
| ★5 | 国際標準 | 国際的な取引や、極めて高度なリスク管理が必要な場合 (ISO/IEC 27001等との連携を想定) |
取引先の重要な情報や、委託された業務を担う多くの企業は、標準的に目指すべきレベルである「★4(Standard)」が目標となる可能性が高いといえます。
★4(Standard)獲得のためにクリアすべき要件とは?
自社が★4(Standard)を取得するためには具体的に何が必要なのでしょうか。まずは、最低限達成すべき基準である★3(Basic)の要件から確認しましょう。
「★3(Basic)を事前に取得していなければ★4(Standard)を取得できない」という制約はありませんが、★3(Basic)の全要件が★4(Standard)に包括されているため、まずは★3(Basic)をクリアするところから目指すのが現実的です。
★3(Basic):最低限実装すべき対策
- 概要:一般的なサイバー攻撃(既知の脆弱性悪用など)への対処
- 主な要件(全25項目案):
-ID・パスワードの適切な管理
-ソフトウェアの脆弱性対策(パッチ適用)
-ウイルス対策ソフトの導入
-情報資産・ネットワークの把握 - 評価方法:自己評価(ただし、専門家の助言プロセスが必要)
★4(Standard):標準的に目指すべき対策
- 概要:サプライチェーン攻撃を想定し、被害拡大防止や早期復旧まで含めた包括的な対策
- 主な要件(全44項目案):★3(Basic)の全要件に加え、以下のような要件が必要
-多層防御:データの暗号化、ネットワーク分離、出口対策
-検知・監視:ログの収集・分析、不審な挙動の監視(EDR等の活用)
-インシデント対応:復旧手順の整備、体制構築
-サプライチェーン管理:重要な委託先の対策状況把握 - 評価方法:第三者評価が原則
既存の認証制度(ISMS等)との関係
ISMS(ISO27001)は「マネジメントシステム(仕組み)」を評価するものですが、本制度は「具体的な対策の実装状況」を評価するものであり、両者は相互補完的な関係です。ISMS取得企業であっても、具体的な情報セキュリティ対策の証明として本制度の活用が期待されます。
セキュリティ対策評価制度の最大の課題は「人」と「教育」
★4(Standard)などの高いセキュリティレベルを維持するためには、技術的な対策だけでなく、それを運用する「人」の対策が不可欠です。要件にも「継続的なリスク管理体制」や「インシデント対応」が含まれています。
セキュリティ対策の現場の悩み
実際にセキュリティ対策を行う現場では、以下のような悩みが長年に渡る問題となっています。
「教育しても効果が見えない」
「忙しい従業員が受講してくれない」
「一度研修しても、時間が経つと忘れてしまう」
現場の悩みを解決する最新の「分散学習」アプローチ
こうした課題に対し、効果的なのが「分散学習」です。一度に多くの学習内容を詰め込むのではなく、短時間の学習を分散して行うことで、記憶の定着率を高め、リスクを低減します。
ライトワークスでは、「分散学習」のアプローチを取り入れた最新のセキュリティ対策教材「ラーニングハブ for セキュリティ」を提供しています。
「ラーニングハブ for セキュリティ」の特徴
- マイクロコンテンツ:3〜5分程度の短い動画教材なので、業務の隙間時間に受講可能です
- 最新トレンドへの対応:IPAの「情報セキュリティ10大脅威」などの最新事例をタイムリーに学習できるため、知識が形骸化しません
- 継続的な意識付け:定期的な配信により、セキュリティ意識を常に高く保つことができます
- 実践的な訓練:標的型攻撃メール訓練と組み合わせることで、「知識」を「行動」に変えることができます
- 運用工数の最小化:システムから自動で、従業員宛の受講勧奨メールが定期的に配信されるため、運用担当者の負担を最小限に抑えられます。
巧妙化するサイバー攻撃は「分散学習」で対策! ⇒ 「ラーニングハブ for セキュリティ」の詳細を確認する
まとめ:2026年に向けて、今すぐ始めるべきこと
2026年10月以降の本格運用に向け、直前になって慌てないために、今から以下のステップで準備を進めましょう。
- 目標ランクの決定:セキュリティ対策評価制度の簡易判定表を参考に、自社が目指すべきは★3(Basic)か★4(Standard)かを経営陣と合意します
- ギャップ分析と技術対策:現在の対策状況と、求められる要件(多層防御、ログ管理など)とのギャップを洗い出し、計画を立てます
- 「人」の対策の強化:形式的な研修から脱却し、「分散学習」などを取り入れて、従業員のセキュリティ意識を底上げします
セキュリティ対策評価制度による★の取得は、単なるコストではありません。数多ある企業の中から、顧客が安心して御社を選び、取引を継続するための重要な「パスポート」となるでしょう。
参考)
経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」,2025年12月16日公表, https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/20251226_report.html (閲覧日:2026年1月15日)
経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」,2025年4月14日公表, https://www.meti.go.jp/press/2025/04/20250414002/20250414002-2.pdf (閲覧日:2025年11月20日)
株式会社インターネットイニシアティブ「経済産業省が検討するセキュリティ対策評価制度を分かりやすく解説」 , https://ent.iij.ad.jp/articles/9699/ (閲覧日:2025年11月20日)
