経済産業省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度」が2026年度下期(10月〜3月)に運用開始される。サイバー攻撃によるサプライチェーン途絶は、自然災害と並ぶ事業継続リスクだ。本記事では、新制度の具体的なレベル基準と中小企業が取るべき対応を解説する。
制度創設の背景 — サプライチェーン攻撃の深刻化
近年、セキュリティが脆弱な中小企業を踏み台にしたサプライチェーン攻撃が急増している。1社のセキュリティインシデントが、取引先や顧客を含むサプライチェーン全体に連鎖的な被害を及ぼすケースが相次いでいる。
PCAの解説記事によれば、こうした状況を受けて経済産業省は、企業のセキュリティ対策状況を客観的な基準で「見える化」し、サプライチェーン全体のセキュリティレベルを底上げするための評価制度の構築を進めてきた。
制度の概要とスケジュール
経済産業省は2026年4月14日、「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表した。さらに2026年3月27日には制度構築方針を公表している。
スケジュール
- 2026年度上半期(4〜9月):制度の詳細決定と運用準備
- 2026年度下半期(10月〜3月):制度の運用開始(まず★3・★4から)
- ★5の開始時期:今後検討
評価レベルの体系
東京スタンダードの解説およびNRIセキュアの対応ガイドによると、制度は★1〜★5の5段階で構成される。
| レベル | 対象 | 評価方法 | 開始時期 |
|---|---|---|---|
| ★3 | サプライチェーンに参加する全企業 | 自己評価+有資格者の確認 | 2026年10月〜 |
| ★4 | 標準的に目指すべき水準 | 第三者評価 | 2026年10月〜 |
| ★5 | 高度なセキュリティ対策 | 第三者評価 | 未定 |
★1と★2は基礎的なセキュリティ対策の段階として設定されているが、今回の運用開始では★3・★4から始まる。
★3の具体的要件 — 全企業が最低限実施すべき対策
SecureNaviの解説およびJBサービスの解説によれば、★3は約25項目程度の基礎的なセキュリティ対策で構成される。主な要件は以下の通りだ。
ガバナンス・体制
- 情報セキュリティに関する経営方針の策定
- セキュリティ担当者の設置
- 年1回以上の経営層への報告
資産管理
- IT資産・ネットワーク台帳の作成
- 機密情報の取り扱いルールの整備
- 年1回の棚卸し
インシデント対応
- インシデント対応フローの策定
- 緊急連絡先リストの整備
- 初動対応手順の文書化
★3は原則として自己評価で取得可能だが、有資格者等による確認を経て登録される仕組みが想定されている。
★4の具体的要件 — 標準的に目指すべき水準
NRIセキュアの★4対応ガイドによると、★4は計44項目の要求事項が検討されている。★3の基礎対策に加え、以下の領域での包括的な対策が求められる。
- 組織ガバナンス:より体系的なリスク管理体制
- 取引先管理:委託先・サプライヤーのセキュリティ管理
- 攻撃の防御・検知:技術的な防御措置と監視体制
- インシデント対応:より高度な復旧計画と訓練
★4は第三者評価により認定される。ISMSとの違いとして、本制度はサプライチェーン全体のセキュリティ底上げに特化している点が挙げられる。
中小企業への支援策
東京都中小企業サイバーセキュリティ支援事業のページによると、「サイバーセキュリティお助け隊サービス」では、★3・★4の取得・更新時に中小企業を支援する仕組みが整備される。具体的には以下のサポートが想定されている。
- セキュリティ対策状況の評価
- 未達成項目のITツール導入支援
- 人的支援による対策実施サポート
また、前述の「デジタル化・AI導入補助金(旧IT導入補助金)」のセキュリティ対策推進枠を活用することで、サイバーセキュリティお助け隊サービスの導入費用(最大2年分)に対する補助を受けることができる。
防災×サイバーセキュリティ — 「複合リスク」への備え
サプライチェーンの途絶リスクは、自然災害とサイバー攻撃の「複合リスク」として捉える必要がある。
自然災害時のサイバーリスク
大規模災害の発生時には、以下のようなサイバーリスクが高まる。
- 災害対応に集中するあまり、セキュリティ監視が手薄になる
- 緊急時の例外的なアクセス許可が悪用される
- 災害に便乗したフィッシング攻撃が急増する
- 被災によるシステムダウンが、別のサプライチェーン攻撃の起点となる
BCPとセキュリティの統合
従来、BCPは自然災害を中心に策定されてきたが、今後はサイバー攻撃によるサプライチェーン途絶も想定した計画が必要だ。セキュリティ評価制度への対応とBCPの見直しを同時に進めることで、複合リスクへの耐性を効率的に高められる。
建設業者がいま取るべきアクション
建設業はサプライチェーンの裾野が広く、多数の協力会社・資材メーカーと取引がある。大手ゼネコンがセキュリティ評価制度の★4取得を進めれば、協力会社にも★3以上の取得を求める動きが広がる可能性がある。
- 自社のセキュリティ現状を把握する:★3の約25項目のチェックリストで、現状の対応状況を確認する
- IT資産台帳を整備する:PC、スマートフォン、ネットワーク機器の一覧を作成する。これは★3の基本要件であり、BCP策定にも不可欠だ
- サイバーセキュリティお助け隊サービスを検討する:IT導入補助金(セキュリティ対策推進枠)で費用の補助を受けながら、★3取得に向けた支援を受けられる
- 取引先のセキュリティ要件を確認する:元請企業が制度への対応を求めてくる可能性に備え、取引先の動向を把握する
まとめ — 2026年10月は「待ったなし」
サプライチェーン強化に向けたセキュリティ対策評価制度は、2026年10月から運用が開始される。中小企業にとっては「まだ先の話」と感じるかもしれないが、元請企業や大手取引先が制度対応を進める中で、対応が遅れた企業は取引条件で不利になるリスクがある。
自然災害とサイバー攻撃の複合リスクに備えるためにも、セキュリティ評価制度への対応とBCPの見直しを併行して進めることを強く推奨する。
強靭化Bizナビ編集部
国土強靱化・防災ビジネスに特化した専門メディア「強靭化Bizナビ」の編集チーム。政策動向、市場分析、補助金情報、導入事例など、ビジネスパーソンの意思決定に役立つ情報を配信しています。
