2026年度に改正予定!「サプライチェーン強化に向けたセキュリティ対策評価制度」とは?Webサイト運用者がまず押さえるべきポイント
近年、大手物流企業や飲料メーカーでのセキュリティインシデントをきっかけに、サプライチェーン(物流や製造を中心とした仕入れ~販売までの一連の流れ)のセキュリティ対策に注目が集まっています。
また、経済産業省ではこれらの攻撃リスクを鑑み、2026年度より「サプライチェーン強化に向けたセキュリティ評価制度」施行を予定しています。
本コラムでは、2025年に国内で発生したセキュリティインシデントを改めてご紹介するとともに、2026年に施行予定の新評価制度や中小企業のWeb担当者が現時点で押さえておきたいポイントを簡単にご紹介します。
目次
- サプライチェーンのセキュリティインシデント、結局何が起きた?
- 「サプライチェーン強化に向けたセキュリティ評価制度」とは?
- 主に評価される項目
- Webサイト運用者が押さえておくべきポイント
- まとめ:基本的な対策を続けつつ、改正に備えよう
サプライチェーンのセキュリティインシデント、結局何が起きた?
サプライチェーンへのセキュリティリスクについては、以前よりIPA(情報処理推進機構)の10大脅威に数えられていました。2025年においても、複数の企業において情報流出やシステム停止などの事件が発生しています。
中でも、下記の例は大手企業が不正アクセスによって業務停止や出荷停止に追い込まれた例として特徴的なものでした。
大手飲料メーカー
グループ内拠点のネットワーク機器を経由した不正アクセス。複数のサーバーや一部PCのデータが暗号化される。サーバー内に保管されていた150万件以上の個人情報が流出した恐れがある。復旧までに2ヶ月間の封じ込め対応を要した。
大手物流グループ
業務委託先の管理アカウントから不正アクセスがあり、ランサムウェア攻撃によってシステム障害が起きる。グループ内の各社において出荷業務の停止や情報流出が発生。最初の不正アクセスから攻撃を受けるまで4ヶ月の期間が空いていた。
これらのセキュリティインシデントにおける共通点は、複数社と取引をするグループ内において、委託先や拠点が侵入起点となっている点です。サプライチェーンのセキュリティリスクは、商流の中で複数社が関わることによりセキュリティホールが大きくなってしまう点、対策しようにも監視範囲が広く対応が難しい点にあります。
そこで、これらのインシデント発生にも関連して、経済産業省が主導となり、サプライチェーンを中心とした受発注企業を強化するためのセキュリティ評価制度改正が計画されています。
「サプライチェーン強化に向けたセキュリティ評価制度」とは?
サプライチェーンの受発注業務における適切なセキュリティ対策を促すための手段として、★3~★5の指標を用いて受注側の企業を評価する制度です。なお、★1、★2はIPAの「セキュリティアクション」制度において自己宣言で取得できる指標です。
本制度では、各マークのセキュリティ対策段階が以下のように位置付けられます。
★3:全てのサプライチェーン企業が最低限実装すべきセキュリティ対策
- 基礎的なシステム防御策と体制整備を中心に実施する段階
- 専門家確認付き自己評価で認定
★4:サプライチェーン企業等が標準的に目指すべきセキュリティ対策
- 組織ガバナンス・取引先管理、システム防御・検知及びインシデント対応等の包括的な対策を実施する段階
- 第三者評価で認定
★5:サプライチェーン企業等が到達点として目指すべき対策
- 国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備
- システムに対しては現時点でのベストプラクティスに基づく対策を実施する段階
- 第三者評価で認定
- 令和8年度以降、対策基準や評価スキームの具体化の検討を予定
マークの取得を通じて、ビジネス・ITサプライチェーンにおける「取引先へのサイバー攻撃を起因とした情報セキュリティリスク」「製品・サービスの提供途絶や取引ネットワークを通じた不正侵入等のリスク」等に対するセキュリティ対策実施を促進し、サプライチェーン全体でのセキュリティ対策水準向上を図ります。
具体的には、2社間の取引契約等において発注企業が、受注側に適切な段階(★)を提示し、示された対策を促すとともに実施状況を確認することを想定しています。
なお、再委託先は発注者からみた直接の管理対象にはなりませんが、委託先を通じて必要に応じた管理が求められます。
主に評価される項目
本制度における評価項目は、各企業のサプライチェーンにおける重要性や影響度を踏まえた上で
①ビジネス観点(データ保護・事業継続における重要度)
②システム観点(接続の有無)
の二点で整理されました。
各産業のガイドラインや海外の類似制度の内容も踏まえ、下記の項目が大項目として挙げられています。
ガバナンスの整備
自社内のシステムや決まりが法律を遵守できているか、法律や制度に照らし合わせて確認する。また、セキュリティ担当者の配置や攻撃監視のシステムについても定義すること。
取引先管理
取引先と自社のシステムがビジネス上でどう関連しているかを明らかにしておく。また、機密情報の取り扱いについても定めておく。
リスクの特定
社内のハードウェアやネットワークを管理し、攻撃を受ける可能性がある箇所を明らかにしておく。また、それらの脆弱性を管理する体制を整理する。
攻撃等の防御
アクセス制御等の直接的な防御策から、社内の意識向上トレーニングまで、攻撃を受けにくくさせる仕組みを設置する。
攻撃等の検知
攻撃を受けた際に検知できるよう、ネットワーク上の適切な場所でネットワーク接続やデータ送信がされているか監視すること。ファイアウォール機能の利用や、セキュリティ事象のレポート送信などが行われるかを確認する。
インシデントへの対応
インシデント発生時の対応方法をあらかじめ策定しておき、実際に事象が発生した際、計画通りに対策できるようにしておくこと。社内の連絡ルートや報告フォーマットの整備やドキュメント化すること。
インシデントからの復旧
インシデントから復旧させるための準備、対策をあらかじめ行っておくこと。
Webサイト運用者が押さえておくべきポイント
Webサイト運用においては、現状チェックシート内で具体的な評価ポイントは示されていません。しかし、Webサイトがサイバー攻撃のきっかけとなりうるケースや、インシデントには満たない細かな不正アクセス事例が多数報告されています。
そのため、
- 既に脆弱性が周知されているサービスは使用を避ける
- セキュリティ診断等も活用して対策できているかを確認する
等については制度化の有無にかかわらず企業サイトを運用する方は認識しておくべき点といえます。自社サイトがセキュリティホールとなることがないように、より一層セキュリティ意識を高めていくことが重要です。
まとめ:基本的な対策を続けつつ、改正に備えよう
本制度についてはこれから施行されるため、まだ未確定の箇所が多い状況です。しかし、セキュリティインシデントを防ぐためには基本的なセキュリティ対策を怠らず、周囲の状況にアンテナを張っておくことが重要です。
Webサイトにおいても、今後リニューアルや大規模な改修を検討される場合は、利用を予定しているツールのセキュリティ対策に問題がないか、社内の体制に課題がないかという点を今一度検討してみてください。また、もしサイトのセキュリティ面で不安な点がある場合は、お気軽にご相談ください。
また、Webサイトは公開後も継続的な運用をしていくことが重要となります。 必要な対策は日々変化していきます。そんな変化に対応できるよう、こまめにWebサイトの改善を行っていくことが、成果を出し続けるためのポイントです。
関連ページ
「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました (METI/経済産業省) 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))を公表しました (METI/経済産業省)