背景・課題

求められるサプライチェーン攻撃への対策

毎年前年の10大脅威を発表し、注意喚起と対策促進を行っているIPA発行「情報セキュリティ10大脅威 組織編」では、2023年、2024年、2025年の3年連続で「サプライチェーンや委託先を狙った攻撃」が2位となっています。

そのような背景もあり、経済産業省では、公的かつ業種を横断して企業のセキュリティ対策レベルを評価する制度で、企業間の比較やサプライチェーン全体の強化を促すことを目的とした「サプライチェーン強化に向けたセキュリティ対策評価制度」の準備を進めています。2026年10月から★3、★4の評価、適用が開始予定となり、早ければ2027年度の取引条件に組み込まれる可能性があるため、早急に対応方針や準備を行う必要があります。

一方で、中堅・中小企業で★3、★4を取得するには、次のような課題があります。

ガバナンス・体制が未整備

・文書化やポリシー策定が未整備なケースが多い。 
・★4では「取引先管理」「リスク特定」等の組織的な仕組みが必須。

人材・リソース不足

・専門知識を持つセキュリティ・情報システム人材が不足。
・既存業務に加えて評価準備を行う負担が大きい。
・★4以上では外部評価対応や高度な対策、単発対応ではなくPDCA運用が必要。

技術的ハードル

・★4では「検知・対応」「復旧」など高度な機能が求められるため、既存システムの改修やクラウド環境のセキュリティ強化が必要。

プロセス

コンサルティング例として、★4取得時の一般的なプロセスをご紹介します。

キックオフと現状把握

経営層コミットメントの確保、現状成熟度の把握、プロジェクト体制・計画の確立
・キックオフ会議
・現状アセスメント
・現在のお客様先文書の調査

リスクアセスメントとリスク対応計画

重要リスクの特定、対応方針の決定
・各部門の情報資産の棚卸し
・各部門のリスク洗い出し・評価・リスク対応案の検討

規程群の整備

組織のルール基盤を整備し、証跡として求められる「文書化した情報」の核を作成
・トップのセキュリティ基本方針、目標の策定
・規程・手順・標準類の作成とレビュー
・文書管理ルールの確立

技術的・運用対策の実装

リスク対応計画に基づく現場の実装とエビデンス生成
・IAM強化（ロール整備、MFA、不要アカウント削除、権限棚卸）
・EDR/ウイルス対策、暗号化
・ネットワークセグメンテーション、FW/IDS/IPS設定レビュー
・ログ集中管理、監視ルール、SIEM/アラート運用
・バックアップの世代・隔離・復元テスト
・パッチ運用カレンダー
・サプライヤー評価、セキュリティ条項の契約反映
・媒体廃棄手順、物理セキュリティ（入退室、カメラ、施錠）等

教育・意識向上と運用定着

全社の理解と実行力を高め、審査で問われる「運用実績」を作成
・全社員教育（年1回以上）と受講記録、標的型メール訓練
・キーパーソン向け実務トレーニング

内部監査と是正

要求される可能性のある内部監査の実施、適合性・有効性の評価、是正
・監査計画、チェックリスト作成、監査員の指名（独立性確保）
・文書レビュー、現地確認、サンプリング、インタビュー
・不適合・改善機会の指摘、是正処置の実施・検証

マネジメントレビュー

経営陣がコンサルティングの効果をレビューし、方針・資源の見直し
・インプット準備（監査結果、KPI、リスク状況、インシデント、是正状況、外部課題・法規制更新等）
・レビュー会議、アクション決定

SPC Trust Chain

経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」★3、★4を取得・運用を行うためのセキュリティチェックや自己評価/審査申請、運用管理を行うセキュリティマネジメントサービス「SPC Trust Chain」をあわせてご利用いただくことで、★取得情報を一元管理し、セキュリティチェックの依頼側と回答側の管理工数を劇的に低減することができます。