近年、ランサムウェア攻撃や委託先経由の情報漏えいなど、サプライチェーンを通じたサイバーリスクが顕在化しています。自社単独の対策だけでは十分とはいえず、取引関係全体で一定水準のセキュリティを確保することが求められています。こうした背景のもと、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の導入を検討しています。本稿では、その概要と★3・★4が求める内容を整理します。
目次
経済産業省が2026年度末頃の開始を検討している本制度は、発注企業が受注企業(サプライヤー)に対して求めるセキュリティ対策を標準化し、その実施状況を可視化することを目的とした仕組みです。
発注企業は、委託する業務の性質や重要度に応じて必要な対策水準を提示し、提示した対策の実施を求めるとともに、その状況を確認します。対策水準は★(スター)の数で示され、★1から★5までの5段階で整理されています。制度開始当初は、★3および★4を対象として運用が開始される予定です。
制度の対象は、サプライチェーンを構成する企業等のIT基盤(クラウド環境を含む)です。特定の業種に限定されるものではなく、業種・規模を問わず幅広い企業が対象となります。一方で、製造環境等の制御(OT)システムや、発注元等に提供する製品そのものは対象外とされています。
評価水準ごとの要求事項および評価基準は別添資料として公表されており、各企業は自社の整備状況をそれらに照らして確認することができます。発注企業は、業務が自社の事業継続や情報管理に与える影響度を踏まえ、求める評価水準を判断します。供給停止がサプライチェーン全体に影響を及ぼす業務や、機密性の高い情報を扱う業務については、より高い水準が求められることが想定されています。
また、受注企業がさらに他社へ業務を委託する場合、その企業は当該取引において発注企業の立場となります。この場合、本制度の適用に関する判断は、最上位の発注者ではなく、直接の発注者が行うとされています。
★3は、サプライチェーン企業が最低限整備すべき水準として位置付けられています。要求事項を見ると、資産の把握、アクセス管理、パスワードルールの整備、脆弱性対策、バックアップ、インシデント対応体制の整備など、内容自体は基本的なものです。
しかし★3の本質は、個々の対策の高度さではありません。求められているのは、これらの対策が組織の管理として機能していることです。
例えば、3-1-1「ハードウェア、OS及びソフトウェアの把握」では、単に端末やサーバの一覧を作成するだけでは足りません。製造元、OS、台数を把握する仕組みを整備し、導入・設置・ネットワーク接続・パッチ適用を含む管理ルールを定め、さらに年1回以上その遵守状況を点検することが求められています。すなわち、「把握している」状態ではなく、「把握する仕組みがあり、継続的に確認している」状態が必要となります。
4-1-5「パスワード設定ルール」も同様です。デフォルトパスワードの変更、推測されやすい単語の禁止、多要素認証の利用や試行回数制限、一定以上の文字数の確保、パスワードの使い回し禁止など、内容は一般的です。しかし重要なのは、これらが社内規程として整備され、サーバやクラウドサービスを含めた全ての対象機器に適用されていることです。現場任せの対応では、★3の水準を安定的に満たすことは困難です。
さらに★3では、「ルールの策定」にとどまらず、「実施」と「点検」までが求められています。規程を整備しただけでは不十分であり、実際の運用状況を確認し、継続的に見直す体制が前提となります。また、セキュリティ方針の策定や責任者の明確化など、ガバナンスに関する項目も含まれています。セキュリティをIT部門の業務に限定せず、組織の管理対象として位置付けることが求められているのです。
このように、★3は高度な技術導入を求める水準ではありませんが、基本対策を「例外なく」「継続的に」「全社横断で」実施することを求める水準です。個別対策の導入ではなく、統制として機能させることが重要となります。
★4では、★3で求められる管理体制を前提としつつ、より高度な対策が追加されています。要求事項には、ログの取得および監視体制の整備、アクセス制御の強化、ネットワーク構成の適切な分離、インターネット境界の防御強化などが含まれています。これらは、単にルールを定めて遵守するという水準を超え、実際の通信や操作の状況を把握し、異常を検知できる体制の構築を求めるものです。
例えば、ログの取得については、取得するだけでなく、適切に保管し、必要に応じて確認できる状態にしておくことが前提とされています。また、アクセス制御に関しては、利用者や管理者の権限を適切に設定し、不要な権限の付与を防ぐことが求められます。ネットワーク構成についても、重要なシステムとそれ以外を分離するなど、影響範囲を限定する設計が想定されています。
さらに、レジリエンスに関する要求事項も含まれています。インシデント発生時の対応手順や連絡体制の整備、バックアップおよび復旧手順の明確化などが求められており、単に予防策を講じるだけでなく、万一の事態に備えた体制を整えることが前提となっています。
★4は、供給停止や情報漏えいが発注企業の事業継続や機密情報の管理に重大な影響を及ぼし得る業務を想定した水準です。そのため、対策の整備状況に加え、侵入や障害の発生を前提とした管理体制の構築が求められます。★3が基本対策の徹底を求める水準であるのに対し、★4は検知や対応、復旧を含むより包括的な体制の整備が必要な内容となっています。
本制度は、発注企業が業務リスクに応じて求める対策水準を明示し、サプライチェーン全体の底上げを図る枠組みです。★3は基本対策を例外なく継続的に実施する体制が、★4は検知・対応・復旧を含むより包括的な体制が要求されています。いずれも高度な技術の導入だけを求めるものではなく、組織として管理を機能させているかが問われます。本制度は、セキュリティを個別対策の問題から経営管理の一部へと位置付け直す契機となる可能性があります。
外部委託先リスク管理クラウドサービス
サプライチェーンのセキュリティ対策
https://www.grcs.co.jp/products/srmt