経済産業省と内閣官房国家サイバー統括室は3月27日、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」を公表した。いわゆるSCS（Supply Chain Security）評価制度は2社間の取引で、発注元が受注先のセキュリティー対策の全容を把握するための仕組み。一定以上の対策が促され適切なセキュリティー実装が進むことで、社会全体でのサイバーレジリエンスを向上させる意図がある。2026年度末とされる運用開始まで1年を切る中、エンドユーザーを支援するITベンダーが果たすべき役割が見えてきた。評価取得で発生する実務や今後の検討課題を担当者に取材した。
（取材・文／春菜孝明）
 

チェックリスト運用の煩雑さを解消

　製品の原材料、部品の調達から販売に至るまでのサプライチェーンを狙ったサイバー攻撃が多発している。情報処理推進機構（IPA）の「情報セキュリティ10大脅威」では19年以来、組織向けの脅威としてサプライチェーンや委託先を狙った攻撃が毎年ランクイン。サプライチェーン全体のセキュリティー対策が求められている。

　今回の制度は、関係企業の対策状況を容易に把握することが主眼に置かれている。これまでも発注企業がチェックリストを取引先に送り、セキュリティー対策の実施状況を回答してもらう取り組みはあった。ただこの方法では要求する対策の適正性の担保が難しく、受注側ではさまざまな企業から別々のチェックリストが届き、負担になっていた。

　そこで経済産業省は、統一基準を定めて課題の解消を目指す考えだ。企業は所定の手続きに基づいてセキュリティー対策状況を申請し、登録されれば、結果が評価制度のWebサイトに一定期間、公開される。公表項目は今後詰めるが、取得企業に登録日や組織部門の適用範囲、評価機関名（開始時は★4のみが対象）がひも付く台帳が想定されている。

　政府主導の制度ではあるものの、評価の取得は任意で、「規制をかけるものではない」と同省商務情報政策局サイバーセキュリティ課の大久保佐太郎・課長補佐は説明する。個別のチェックリスト運用で生じていた煩雑さを軽減できる制度として、周知を図っている。

　業種や事業規模を問わずに対象となる一方、制度の利用について優先的に働きかける業界が定められている。関係企業間の結びつきが強く複雑な自動車や半導体などの主要製造、そして流通、金融の各業種だ。政府調達や重要インフラ事業者などでも活用が進められる。評価対象となるのはクラウドサービスを含むIT基盤で、製造環境などを制御するOTシステムは含まない。制度の運営はIPAが担う。

評価に客観性　セキュリティー人材育成も

　セキュリティー対策は「★3」「★4」「★5」の3段階で可視化される（表参照）。このうち★3と★4については、27年1～3月頃の間にそれぞれ取得の申請受付が始まる見込みだ。上位評価の★5の運用開始は未定で、具体化に向けて検討が続く。
 
　★3から設けた背景にはIPAの「SECURITY ACTION」がある。セキュリティーの取り組みに応じて「一つ星」「二つ星」を宣言する仕組みで、別の制度だが連続性が考慮されている。

　新制度で求められる対策水準は、★3は最低限、★4は標準的と表現されている。具体的には、米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワークに対応した6分類に「取引先管理」を加えた七つの大分類ごとに、要求事項と評価基準を設定。★4のほうが同じ項目でも高度な内容が必要だったり、★3にはない事項があったりする。例えば「守秘義務のルール」の項目では、★3はルール策定や入社時の説明を求めているのに対し、★4は従業員の誓約書の提出などが加わる。合格には全ての評価基準への適合が原則となる。

　発注元が取引先に★4を求めるケースについて、大久保課長補佐は事業継続リスクと、情報管理リスクの2点を例示する。事業継続リスクは、企業の主力製品やサービスについて、取引先が生産する特定の部品や工程に依存しており、市場からの代替調達が難しい場合を指す。情報管理リスクは、製造委託の際に、設計書などの機密情報を共有する場合にあたる。このように、サプライチェーンの中でも重要関係先は上位水準の取得を迫られる可能性がある。
 
　特徴的なのが、評価の客観性を保つ仕組みだ。★3を取得するには、自己評価の後に「セキュリティ専門家」の確認や助言を受ける必要がある。ここで言う専門家とは、「情報処理安全確保支援士（登録セキスペ）」「公認情報セキュリティ監査人」「CISSP」「CISM」「CISA」「ISO27001主任審査員」のいずれかの資格を保有し、制度に関する研修を受講した個人となる。ただ、専門家の管理の下で資格を持たない作業従事者が実務を担うこともできる。評価する側の人材を育成し、セキュリティー人材不足の解消につなげる狙いが込められている。作業従事者も研修の受講は必須となっている。

　★4の評価は、認定評価機関や技術検証事業者が実施する。★3のプロセスにある自己評価の確認に加え、実地審査や技術検証を行う。具体的にはVPN機器への脆弱性診断が想定されている。VPNが侵入口とみられる事案が相次いでいるため、攻撃耐性を確かめる。

　日頃からユーザー企業に出入りするITベンダーも、前述の研修受講済みの専門家がいれば★3の「専門家による助言」を行うことが可能で、評価機関としての指定を受けると、評価を担うこともできる。大久保課長補佐は、一般的な認証制度では中立性を担保するため独立した機関であることが求められてきたとした上で「この制度はみんなで一緒にセキュリティーのレベルアップをしていこうというコンセプト。中小企業では、二人三脚で対策する必要がある」と意図を解説する。一方で、過度に主観的な評価を避けるため、営業担当者が評価しないなどの要件を今後検討する。

　運用開始までに評価ガイドの作成と評価機関の指定が進められる。評価ガイドは、要求事項・評価基準を満たす実装例などをまとめ、10月の公開を予定している。要求事項や評価基準だけでは「具体的な実装方法が分かりづらい部分がある」（大久保課長補佐）として、ベストプラクティスを例示する。★4に関係する評価機関は26年12月頃の公表を目指している。

アイデンティティー管理など技術実装に余地

　制度を検討する過程では25年に複数の実証事業やヒアリングが行われた。発注元とサプライチェーン構成企業、第三者評価機関を交えて実務を試行。同省は結果を踏まえて内容を見直した。例えば過去にランサムウェア攻撃を受けた参画企業から、インシデント発生を念頭に置いた業務の代替手段などを整備する必要があるとの意見があった。これを受け、復旧に関して評価基準を追加。システムや人手による業務継続を例に示すなど、BCP（業務継続計画）を意識した内容とした。

　実証事業では、評価基準を満たしているか（順守率）も調査。企業のセキュリティー対策の実態が浮き彫りとなった。★3の取得を想定した企業では、順守率の全体平均が70％だった。1001人以上の企業が85％だったのに対し、101人～1000人は73％、51～100人は52％、1～50人は68％と、企業規模と順守率がおおむね相関する結果となった。

　分類別に見ると、順守率が6割台前半と低迷したのが「アイデンティティ管理とアクセス制御」「データセキュリティ」「プラットフォームセキュリティ」「技術インフラのレジリエンス」。一方でガバナンスを求める「役割/責任/権限」や「ポリシー」は9割近くと高水準だった。技術的対策の実装が求められる事項は相対的に順守率が低くなっているが、大久保課長補佐は「機器設定を変更すれば項目を満たす」場合も多いと補足する。

「新お助け隊」で支援事業者にお墨付き

　セキュリティー製品を販売するなど、★の取得を支援する事業者の枠組みとして、経済産業省は「サイバーセキュリティお助け隊サービス（新類型）」を新設する。独自の支援サービスに各社が動き出す中、お墨付きを与えることで中小企業の安心感や適正価格での提供につなげたい考えだ。ネットワーク監視や相談窓口などがパッケージになった従来の「サイバーセキュリティお助け隊サービス（1類、2類）」の登録事業者に新サービスを案内し、活用を働きかけている。

　サービス内容としては、対策状況の診断を通じて現状の課題を可視化するとともに、ツールの導入や文書関係の整備、セキュリティー教育などを支援し、評価を取得できるようにするものを想定している。

　サービスを試行する実証事業について、IPAが26年中に開始する。公募でユーザー企業1000社の参加を目指し、サービス提供側となる支援事業者も募集する。上限は設けるが、実証事業に参加するユーザー企業は、インシデント体制整備などセキュリティー対策に必要なサービスを無料で受けられる。実証を通じて、評価取得に必要になる機器の内容や品質、サービス自体の価格要件などを見極める。