中小企業を狙ったサイバー攻撃やサプライチェーンを通じた攻撃が深刻化しています。こうした状況を受け、経済産業省が2026年に「セキュリティ対策評価制度」を導入する計画を進めています。
近年ではアサヒビールやASKULなどがサイバー攻撃を受けたニュースが流れていますよね。
弊社でもセキュリティ対策を強化すべくSECURITY ACTIONに取り組んでおり、二つ星を宣言しました。
セキュリティ対策評価制度を簡単に説明すると、取引先や委託先業者がどれくらいセキュリティ対策を行っているのか、星で評価して可視化するというものです。
自社がいくらセキュリティ対策を行っていても、取引先がセキュリティ対策をしていないと自社まで影響を受けることがあります。
企業としてもセキュリティ対策をしっかりしているA社としているか分からないB社があったら、A社と取引したほうが安心ですよね。それを可視化しようというのです。
以下ではより詳しく紹介していますのでご確認ください。
経済産業省がセキュリティ対策評価制度を2026年度から運用開始を予定しております
経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」を発表しました。
それは、「取引相手のセキュリティ対策は信頼できるのか」「自社の対策レベルをどう示せばよいのか」——こうした疑問を可視化するための新制度です。
この制度では、企業の役割や重要度に応じて、セキュリティ対策の状況を5段階の星印で表示します。サプライチェーンにおける影響力の大きさに応じて、★3、★4、★5の3つのレベルで評価を行います。
評価の観点は「経営体制の整備」「取引先の管理」「リスクの把握」「システムの防護」「攻撃の検出」「事故発生時の対応と回復」などで構成され、米国NIST発行の「サイバーセキュリティフレームワーク2.0」をはじめとする国際的な指針に沿った内容となっています。
なぜ今この仕組みが必要なのか
サイバー攻撃の手法が高度化・複雑化する中、自社だけでなく取引先にもセキュリティ対策を要求することが標準になりつつあります。
ところが、対策の実施状況を客観的に評価し、証明する手段が十分でないという課題があります。具体的には、受注する企業が自社の対策レベルを示す方法が限られており、発注する企業も取引先の状況を外部から確認することが困難な状況だからです。
特にサプライチェーンでは、受注企業が取引先ごとに異なる基準に対応しなければならないという負担も明らかになっています。
IPAが発表する「情報セキュリティ10大脅威」を見ると、「サプライチェーンの脆弱性を突いた攻撃」は2019年以降毎年上位に入り、2023年と2024年は第2位となりました。サプライチェーン全体でのセキュリティ対策の必要性が年々増していることがわかります。
制度がもたらす効果
この評価制度を導入することで、どのような利点があるのでしょうか。
中小企業にとっては、自社のリスク状況に見合った対策を選択・実施しやすくなり、取引先からの信頼を得やすくなる効果が見込まれています。
発注企業も、受注企業に求める対策の水準を明確に示しやすくなり、その実施を促進するとともに状況を確認できるようになります。
SECURITY ACTION宣言について
制度開始前から始められる取り組み
サプライチェーン強化に向けた評価制度の本格稼働は2026年ですが、外部に対してセキュリティ姿勢を示すために、2026年より前から着手できる「SECURITY ACTION セキュリティ対策自己宣言(以下、SECURITY ACTION宣言)」という取り組みが2017年から実施されています。
SECURITY ACTION宣言の概要
この制度は、経済産業省の管轄下にある「IPA(独立行政法人 情報処理推進機構)」が設けた自己申告の仕組みです。
IPAが基準を認定するのではなく、中小企業が自らセキュリティ対策に着手することを表明することで、国内全体での対策の浸透・促進を図ることが主な狙いです。
この制度は、企業がセキュリティ対策を段階的に強化していくための入口として設計されています。セキュリティ対策評価制度が3つ星から5つ星を認定対象とするのに対し、SECURITY ACTION宣言はその準備段階となる1つ星から2つ星をカバーします。3つ星以上と比較して基礎的な内容で、取り組みのハードルが低くなっています。
宣言することの利点として、デジタル化やサイバーセキュリティ対策などを支援する補助金の応募条件になっている点も挙げられます。
評価方法と申込手順
SECURITY ACTION宣言の申込みは、IPAの専用フォームを通じて行います。まず個人情報の取扱いとロゴマーク使用規約に同意し、1つ星または2つ星のいずれかを選択します。続いて担当者情報と事業者情報を入力します。
申込み直後に受付確認のメールが届き、約1週間後に自己宣言IDの通知、さらに1〜2週間後にロゴマークの使用許諾とダウンロード用パスワードが送られます。その後、宣言事業者の一覧にも掲載されます。
SECURITY ACTION宣言の各レベル
1つ星レベルの内容
1つ星では「情報セキュリティ5か条」への対応を表明します。
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
これらは基礎中の基礎といえる対策ですが、実は完全に実施できている企業は多くありません。1つ星宣言は、まさにセキュリティ対策の基盤づくりといえます。
Windows Updateやソフトウェアのアップデートの実行、ウイルス対策ソフトの導入とウイルス定義ファイルの更新、パスワードを「長く・複雑に・使い回さない」というルールの徹底が必要です。
また、Webサービスやネットワーク接続された複合機・ハードディスクなどの共有範囲を制限し、従業員の異動・退職時には速やかに設定を変更・削除することも欠かせません。なりすましによるウイルスメールの送付や偽サイトへの誘導など最新の手口を把握することも重要です。
2つ星レベルの内容
2つ星では「5分でできる!情報セキュリティ自社診断」の実施と、「情報セキュリティ基本方針」の策定・外部公開が求められます。
情報セキュリティ自社診断は、25の質問に答えることで自社の現状を把握できるツールです。1つ星と同じ5項目に加え、従業員レベルでの対策(13項目)、組織レベルでの対策(7項目)の3パートで構成され、「実施している」「一部実施している」「実施していない」「わからない」の4段階で評価します。
次に、自社の情報セキュリティに関する理念、方針、原則、目標などを文書化した方針書を作成し、ホームページや会社案内、パンフレットなどで外部に公開します。
ここでは、情報セキュリティ自社診断の25項目の中から、自社や外部サービスを活用することで対応しやすい5項目をピックアップしてご紹介します。
特に、ウイルス対策や重要データのバックアップについては、それらを提供する外部サービスなどを活用することで、すぐに着手することが可能です。
まとめ
年々、セキュリティに対する重要さが増しております。
それに伴い企業としても様々なセキュリティ対策を講じていく必要があります。
まずは、1つ星、2つ星は自己評価でできますので、実施してみてはいかがでしょうか?
分からないという方にはサポート支援も行っておりますのでお気軽にご相談ください。