企業・組織のサプライチェーンを守る:経済産業省が新たなセキュリティ対策評価制度(格付け)の構築へ

※「サプライチェーン強化に向けたセキュリティ対策評価制度」は、2024年9月現在検討中の項目です。詳細は経済産業省より発表される最新の情報をご確認ください。

「サプライチェーン強化に向けたセキュリティ対策評価制度」検討の背景

デジタル化が進む現代のビジネス環境では、企業や業界の垣根を超えたシステムやサービスの連携が当たり前となり、サプライチェーンはかつてないほどに複雑化しています。このような状況下で、サイバー攻撃が局所的に発生した場合でも、その影響が社会全体に広がり、機能の麻痺や混乱、さらには深刻な情報漏洩を引き起こす可能性があります。

そのため、サイバー空間の強靭性(レジリエンス)を確保するためには、中小企業を含めたサプライチェーン全体のセキュリティ対策の底上げが急務となっています。

こうした背景のもと、経済産業省「産業サイバーセキュリティ研究会」のワーキンググループ1(制度・技術・標準化)は、2024年7月に新たな「サプライチェーン強化に向けたセキュリティ対策評価制度」構築に向けた検討をスタートしました。

経済産業省以外の関連省庁とも連携し政府機関・企業による活用を促す枠組みと紐付けることで、その実効性を強化していくことを目指しています。

企業のサイバーセキュリティ対策が進む中で、これまで「サイバーセキュリティ経営ガイドライン」や各産業分野ごとのガイドラインが整備され、多くの企業が積極的に対策に取り組んできました。
しかし、依然として課題が存在しています。

  • 異なる取引先からさまざまな対策水準を要求される
  • 外部から企業のセキュリティ対策状況を判断するのが難しい

こうした課題に対応するため、今後は、諸外国で進んでいる「サイバー対策のレーティング」を参考にしつつ、企業ごとの業種や規模、サプライチェーンの実態に即したセキュリティ対策基準の設定を検討していく必要があります。さらに、業界間での互換性を保ちながら、各企業の対策状況を可視化する仕組みが求められます。

サプライチェーン全体をカバーするセキュリティ評価(格付け)/対策レベルのイメージ

新たな評価制度は、企業の規模や業種を問わず、サプライチェーンに関わるすべての企業が対象となります。企業が実施しているセキュリティ対策のレベルを5段階(5つ星)で評価し、それぞれに応じたガイドラインを提供する形がイメージされています。

対策レベルの可視化(イメージ)/経済産業省 第1回 産業サイバーセキュリティ研究会資料より抜粋(注1)

四つ星(★4)や五つ星(★5)では、ガイドライン準拠を確認する方法として、第三者による認証が想定されています。四つ星(★4)は、サプライチェーン形成企業が標準的に満たすべき基準となる想定です。

制度導入によるメリット

評価制度の導入により、企業や組織は自社のセキュリティ対策を効率的に強化できるようになります。具体的には、セキュリティ対策にかかるコストを明確化し、対策の優先順位を判断するための基準を得ることができます。また、取引先企業に対しても、適切なセキュリティ対策が施されていることを示すことで、信頼性を確保し、新たなビジネスチャンスを開拓することが可能です。

サプライチェーン全体のセキュリティレベルを底上げすることで、社会全体のサイバーリスクを低減し、経済の安定と持続可能な成長を支える役割を果たすでしょう。

海外におけるセキュリティレーティング

海外では既に企業のサイバー対策を可視化し、レーティング(格付け)する動きが活発化しています。今回の日本における新たな評価制度構築においては、米国のCMMCや英国のCyber Essentialsなど、国際的なベストプラクティスを踏まえ、将来的な国際連携や相互承認も視野に入れて設計が進められています。日本企業がグローバル市場で競争力を維持するために必要な基盤となるでしょう。

サイバー対策の可視化・格付け(海外の取組例)/経済産業省 第1回 産業サイバーセキュリティ研究会資料より抜粋(注2)

サイバーリスク可視化ツールへの注目

主に海外においては、様々な評価手法に基づいてサイバーリスクを評価・可視化するツールが既に存在しています。日本でも、自社診断や取引先・関連会社の対策状況の把握の観点から、関心・導入が広がっています。

この検討では、サイバーリスク可視化ツールの例として「Bitsight」「Security Scorecard」「Panorays」が取り上げられています。

サイバーリスク可視化ツール(SaaS)の例/経済産業省 第1回 産業サイバーセキュリティ研究会資料より抜粋(注3)

待つことのリスク:今すぐ行動すべき理由

「制度が決まってから動いても遅くない」と考えることは一見合理的に思えるかもしれません。しかし、サイバー攻撃は制度の整備を待ってはくれません。セキュリティ対策が遅れることで、以下のリスクが生じます:

  1. サプライチェーンの弱体化:サイバー攻撃が発生した際に、セキュリティ対策が不十分な企業は最も大きなダメージを受けます。結果として、サプライチェーン全体が崩壊する可能性もあります。早期に対策を講じていない企業は、その影響を受けやすくなります。
  2. 競争力の低下:セキュリティが脆弱な企業は、取引先からの信頼を失い、新規のビジネスチャンスを逃す可能性があります。市場での競争力を維持するためにも、早期の対応が不可欠です。
  3. コストの増大:後手に回った対策は、結果としてコストがかさむ傾向があります。サイバー攻撃を受けた後に行う修復作業は、事前に対策を講じるよりもはるかに高額になる可能性があります。

早期に行動を開始することで、これらのリスクを回避し、サプライチェーン全体の安全性を確保することができます。

サプライチェーンの未来を見据えたサイバーセキュリティ戦略

企業のセキュリティ対策は、もはや個別の取り組みでは十分ではありません。サプライチェーン全体を守るための包括的なアプローチが必要です。この新たな評価制度は、企業・組織が未来に向けたセキュリティ戦略を構築するための重要なツールとなるでしょう。

この制度を積極的に活用し、サプライチェーン全体でセキュリティ対策を強化する事が、企業・組織の成長には欠かせないものとなります。

コンステラセキュリティジャパンは、今後の検討内容に注目し、必要な情報を発信していきます。

注1)経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ1 2024年7月12日 資料4「サプライチェーン強化に向けたセキュリティ・アーキテクチャの検討」より抜粋

注2)注3)経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ1 2024年7月12日 資料5「サプライチェーン強化に向けたセキュリティ対策評価制度の構築について」より抜粋

サイバーリスクレーティング Bitsight

一緒によく読まれている記事

関連したサービスの紹介記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。