2026年度の運用目指し「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表 経産省
経済産業省はこのほど「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました。
近年、サプライチェーンを狙うサイバーインシデントの発生を背景に、企業間の取引でもサイバーセキュリティ対策の担保が重要視されています。このような状況の中、受注企業は異なる取引先からさまざまな対策水準を求められ、発注企業は各企業の対策状況を判断しにくいという課題が生じており、同省では、こうした課題の解決に向け、各企業が満たすべき対策とその対策状況を可視化する仕組みである「サプライチェーン強化に向けたセキュリティ対策評価制度」について検討を進めてきました。
今般公表された中間取りまとめによると、まず、本制度に基づくマークの取得を通じて、取引先へのサイバー攻撃が原因となる情報セキュリティリスクや取引先ネットワークからの不正侵入リスクなどに対する適切な対策を促すことが本制度の趣旨だとされました。
各企業に求められるセキュリティ対策は、サプライチェーンでの重要性・影響度を踏まえ、★3、★4、★5の3つに分けられる想定で、具体的にはビジネス観点(データ保護と事業継続における重要度)とシステム観点(接続の有無)の2点で整理されます。各段階は、★3がBasic=最低限実装すべき対策、★4がStandard=標準的に目指すべき対策、★5が到達点として目指すべき対策だと記されました。今後は、英国の「Cyber Essentials」や米国立標準技術研究所(NIST)の「Cybersecurity Framework2.0」などの内容に基づき、各段階の考え方や対策事項、要求項目について整理が行われます。
経産省は、2026年度の制度開始を目指して、評価スキームの具体化や制度の利用促進のための施策について検討を進めるとしています。
