サイバーセキュリティ格付け制度(サプライチェーン強化に向けたセキュリティ対策評価制度)の勘所と今後の展望 ~企業はどう備えるべきか~
| 執筆者: | チーフコンサルタント 大津 卓人 |
セキュリティ成熟度に関する政府主導の認証制度が各国で整備され始めています。サプライチェーン強化を目的とするもので、代表格は米国のCMMC(Cybersecurity Maturity Model Certification、サイバーセキュリティ成熟度モデル認証)や英国のCyber Essentials制度です。背景にはサイバーセキュリティの脅威とそれがもたらす被害の拡大があります。産業スパイによる情報窃取が頻発しており、企業は友好国のみでの生産管理体制や情報管理の厳格化など、独自のセキュリティ体制構築を急ピッチで進めています。
一方、日本では業界ごとのセキュリティに関するガイドライン整備を進めながらも、業界を横断し、統一されたセキュリティ成熟度を企業ごとに確認する指標が乏しいのが現実です。
こうした現状の打開策として、経済産業省国内企業のサイバーセキュリティ対応体制の評価制度について2026年度の開始を目指し、制度設計を進めています。 予定されているサイバーセキュリティ格付け制度(サプライチェーン強化に向けたセキュリティ対策評価制度)は5段階の認証制度となっており、業界を横断した統一性のあるサイバーセキュリティ成熟度評価制度として、期待が高まっています。
この格付け制度の内容については、まだ具体化されていない部分も多い一方で、今後の国内企業における新たなセキュリティガイドラインのスタンダードとなることが予想されます。
本稿では現在判明している格付け制度の内容を紹介するとともに、国内企業はこの制度とどのように向き合っていくべきかをお伝えします。
サイバーセキュリティ格付け制度の概要
サイバーセキュリティ格付け制度とは、経済産業省が2026年度から施行を開始する予定の公的なセキュリティ成熟度の評価制度であり、経済産業省が設置した「サイバーセキュリティ強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ」において現在も検討が進められています。この制度は、セキュリティ対策レベルを1つ星 から5つ星の5段階に分けて設定しています。認証認定方法は低いレベルでは自己宣言、高いレベルでは第三者認証を求めるなど柔軟な対応を目指していることが見て取れます。
表1:サイバーセキュリティ格付け制度の概要
| サイバーセキュリティ格付け制度の概要 | |||
|---|---|---|---|
| 星 | 対象企業 | 想定される要件 | 認証方法 |
| ★(1つ星) ★★(2つ星) |
最低限の対策が必要な中小など |
|
自己宣言 |
| ★★★(3つ星) ★★★★(4つ星) |
取引先と供給網を構築する企業 |
|
自己宣言/ 第三者認証 |
| ★★★★★(5つ星) | 電気・鉄道など重要インフラ関連 |
|
第三者認証 |
出典:経済産業省「第8回産業サイバーセキュリティ研究会事務局説明資料」 をもとにNCにて作成
1つ星および2つ星については、IPA(独立行政法人 情報処理推進機構)が示す「SECURITY ACTION制度」における1つ星および2つ星の内容がそのまま採用される予定です。また、2025年2月時点で、以下のようにレベル3~5について制度の具体的な考え方が整理され、発表されています。
表2:制度における各レベルの考え方
| 考え方 | 3つ星(★3) | 4つ星(★4) | 5つ星(★5) |
|---|---|---|---|
| 想定される脅威 |
|
|
|
| 対策の基本的な考え方 |
|
|
|
| 脅威に対する達成水準(イメージ) |
|
|
|
| 評価スキーム |
|
|
|
| ベンチマーク |
|
|
|
出典:経済産業省「対策の基本的な考え方と要求事項案・評価基準案」 をもとにNCにて作成
3つ星は、一般的なサイバー脅威に対処しうる水準を目指すものとして規定されており、4つ星は、サプライチェーンにおける自社の役割に適合した事業継続を推進していることも明記されています。
また、5つ星については、より高度なサイバー攻撃へ対応できるように、自組織のリスクを適切に把握・マネジメントした上で、既存のガイドライン等も踏まえながら現時点でのベストプラクティスに基づく対策を実行することが想定されています。
さらに、各レベルが世界で主要となっている各関連制度・ガイドラインと、どのように関係しているか、整理されている点も重要なポイントとなります。例えば、3つ星は米国のCMMCのレベル1に対応しており、5つ星はCMMCレベル2~3に対応している等、自社のサプライチェーンセキュリティ対策が他主要ガイドラインの要件とどの程度合致しているかの目安を確認できます。
図1:サイバーセキュリティ格付け制度と他セキュリティ対策評価制度の関係性一覧
このことによって、今後海外のガイドライン準拠を考えている企業にとっても、まずは日本の格付け制度のどのレベルを取得すればよいのか、第一歩を踏み出す際に考えやすい指標となることが想定されます。
サイバーセキュリティ格付け制度における具体的な要件
3つ星および4つ星におけるセキュリティ要求事項(案)・評価基準(案)として、2025年2月に詳細が公表されました。現時点の案として、3つ星で25、4つ星で45の要件が用意されており、各要件は「ガバナンスの整備」、「取引先管理」、「リスクの特定」、「攻撃等の防御」、「攻撃等の検知」、「インシデントへの対応」、「インシデントからの復旧」の7つの大きなカテゴリで分類されています。
表3:3つ星および4つ星におけるセキュリティ要求事項(案)・評価基準(案)一覧
| 大分類 | 中分類 | 要件数 | |
|---|---|---|---|
| 3つ星 | 4つ星 | ||
| ガバナンスの整備 | 組織的文脈 | - | 1 |
| 役割/責任/権限 | 2 | 3 | |
| ポリシー | 1 | 1 | |
| 監督 | 1 | 2 | |
| 取引先管理 | サイバーセキュリティサプライチェーンリスクマネジメント | 2 | 5 |
| リスクの特定 | 資産管理 | 4 | 4 |
| リスクアセスメント | - | 1 | |
| 攻撃等の防御 | アイデンティティ管理とアクセス制御 | 7 | 9 |
| 意識向上及びトレーニング | 1 | 3 | |
| データセキュリティ | 1 | 4 | |
| プラットフォームセキュリティ | 3 | 5 | |
| 技術インフラのレジリエンス | 1 | 2 | |
| 攻撃等の検知 | 継続的モニタリング | 1 | 2 |
| 有害イベントの分析 | - | 1 | |
| インシデントへの対応 | インシデントマネジメント | 1 | 1 |
| インシデントからの復旧 | インシデントからの復旧 インシデント復旧計画の実行 | - | 1 |
| 合計 | 25 | 45 | |
出典:経済産業省「【参考資料1】★3・★4要求事項・評価基準案一覧」をもとにNCにて作成
5つ星の要件についてはまだ発表されていませんが、上記に則った大分類・中分類のもと、より細かい要件が要求されることが想定されます。そのため、5つ星を目指す企業についても、4つ星までではありますが現時点の内容を把握しておくと、5つ星取得に向けて準備を進めやすくなるでしょう。
今後の展望
経済産業省は格付け制度のスケジュールについて、2025年4月時点で以下のような具体的マイルストーンを示しています。
3つ星・4つ星については、2025年10月頃に要求事項・評価基準を確定し、2026年10月頃に運用を開始する予定です。5つ星については、運用の開始時期などのスケジュール詳細は決定していませんが、2025年度10月以降に基準や評価スキーム等の検討が予定されており、3つ星・4つ星に続いて制度が導入されると思われます。
また、2025年上期に3つ星・4つ星の実証事業を終え、来年2月頃には制度構築方針を決定し公表する予定です。制度構築方針の決定前にはパブコメを実施するとされており、それが予定されている今週には、より鮮明な格付け制度の姿が見えてくるでしょう。
サイバーセキュリティ格付け制度がもたらすメリット
以上のようなサイバーセキュリティ格付け制度が展開されることによって、各対象者においてそれぞれ以下のようなメリットが考えられます。
- ① 客観的かつ簡易的に取引先や委託先のサイバーセキュリティ成熟度を判断することができる
- 現在国内では、取引先や委託先のサイバーセキュリティ成熟度を判断するには、セキュリティチェック表などの企業個別の指標やツールを用いることが一般的です。一律に成熟度を比較することができるこの制度の導入によって今後は取引先や委託先のサイバーセキュリティ成熟度の判断が容易になるでしょう
- ② 日本企業全体のサイバーセキュリティレベルが高まる
- サイバーセキュリティ成熟度の客観的な指標ができることで、外部からの評価を気にして、多くの企業でセキュリティ体制の改善が進むことが予想されます。この評価制度によって日本全体のサイバーセキュリティレベルが高まることが期待されます。
- ③ 安全な政府調達のためのサイバーセキュリティ基準が明確になる
- 現在の構想では政府調達に関して、サイバーセキュリティ格付け制度で4つ星以上の認定を受けた企業のみが取引できる仕組みが検討されています。そうなれば、政府関係機関と取引をしている、取引予定がある企業がどのようなセキュリティ体制構築を行えばよいのかが明確になります。
まとめ
サイバーセキュリティ格付け制度はまだ未確定な部分が多いものの、2026年には運用開始が想定されています。特に政府関係機関と取引のある企業は、高レベルの星の認定が必須となるため、各企業の経営者やセキュリティ担当者は、今後の動向を注視し、公表されているセキュリティ要求事項(案)・評価基準(案)一覧を踏まえ、セキュリティ体制の改善を進めていくことが良いでしょう。
