【2026年運用開始予定】サプライチェーンセキュリティ評価制度をわかりやすく解説:企業が今すぐ取り組むべき「星」の対策とは

はじめに:なぜこの制度が必要なのか

最近、企業を狙ったサイバー攻撃が増えています。特に問題なのは、大企業だけでなく、その取引先である中小企業も攻撃の対象になっているということです。

たとえば、部品を納入している小さな会社がサイバー攻撃を受けると、その影響は取引先の大企業にも波及し、最終的には商品が届かない、サービスが止まるといった社会全体の問題になってしまう可能性があります。

このような状況を改善するため、経済産業省は2026年度中に**「サプライチェーン強化に向けたセキュリティ対策評価制度」**(通称:サイバーセキュリティ格付け制度)という新しい仕組みをスタートさせる予定です。

---

1. この制度って何?どんな問題を解決するの?

今までの問題点

これまで、発注する側の企業(たとえば大手メーカー)は、取引先の会社がちゃんとセキュリティ対策をしているかを確認するのが大変でした。

一方、受注する側の企業(たとえば部品メーカーやシステム会社)は、取引先ごとに違うチェックリストへの対応を求められ、多大な負担を感じていました。

新しい制度の仕組み

この評価制度では、業種に関わらず統一された基準でセキュリティ対策のレベルを測ります。その結果を**★(星)の数**で表すことで、誰にでもわかりやすくします。

たとえば、発注企業が「この仕事には★3レベルのセキュリティ対策が必要です」と明示できるようになり、受注企業側も何をすればいいか明確になります。

---

2. 評価レベル:★1から★5まで

この制度では、企業のセキュリティ対策レベルを★1(一つ星)から★5(五つ星)までの5段階で評価します。

評価段階	どんな企業向け?	想定される脅威	評価方法
★1・★2	すべての企業	基本的な対策	自己申告(既存のSECURITY ACTION制度を活用)
★3(三つ星)	取引先として最低限求められるレベル	一般的なサイバー攻撃(ランサムウェアなど)	自己評価(専門家の助言あり)
★4(四つ星)	重要な情報を扱う企業	より高度な攻撃	第三者による評価
★5(五つ星)	最高レベルの対策が必要な企業	未知の攻撃も含む高度な脅威	第三者による評価

多くの企業にとって、まず目指すべきは**★3または★4**です。

---

3. ★3・★4で求められる対策:3つのポイント

この制度が対象としているのは、企業のITシステムやネットワーク(パソコン、サーバー、クラウドサービスなど)のセキュリティです。工場の機械などは対象外です。

★3では25項目、★4では44項目の対策が求められますが、大きく分けると以下の3つの領域になります。

(1)経営の責任:会社全体でセキュリティに取り組む体制を作る

セキュリティ対策を一時的なものではなく、継続的に改善していく仕組みが必要です。

★3でやるべきこと(例)

• セキュリティを責任者(役員など)を決める
• セキュリティに関する基本的なルール(ポリシー)を作って、社員に周知する

★4でやるべきこと(例)

• 経営層がセキュリティリスクを理解し、判断できる体制(委員会など)を作る
• 年に1回以上、セキュリティ担当部署が経営層に対策状況を報告し、改善につなげる

(2)サプライチェーンの防御:取引先のセキュリティも管理する

自社だけでなく、取引先や外注先のセキュリティも確認する必要があります。

★3でやるべきこと(例)

• 重要な情報を共有する取引先と、事前に情報の取り扱いについて約束する

★4でやるべきこと(例)

• 重要な取引先について、年に1回以上セキュリティ対策の状況を確認する
• 確認方法の一つとして、取引先が「★」をいくつ取得しているかをチェックする

(3)IT基盤の防御:技術的な対策をしっかり行う

ランサムウェアなどの一般的な攻撃を防ぐための、具体的な技術対策です。

★3でやるべきこと(例)

• ソフトウェアの更新(パッチ適用):重大な脆弱性(セキュリティの穴)が見つかったら、14日以内に修正する
• 強力なパスワードと多要素認証:重要な情報を扱うクラウドサービスでは、パスワード+もう1つの認証方法(SMSコードなど)を使う。パスワードは10文字以上で、英大小文字・数字・記号を含める
• ファイアウォール設定:外部からの不正なアクセスをブロックする
• バックアップ:重要なデータは定期的にバックアップを取り、別の場所にも保管する

★4でやるべきこと(例)

• より厳格な認証:管理者がインターネット経由でシステムにアクセスする場合は、必ず多要素認証を使う
• 脆弱性の管理体制:脆弱性情報の収集から対応までの流れを明確にし、対応履歴を毎月チェックする
• ログの監視:システムのアクセス記録などを保存し、少なくとも月に1回は確認する

---

4. この制度のメリット

発注企業(大手企業など)にとって

• 取引先に求めるセキュリティ対策が明確になり、確認作業が楽になる
• 取引先のセキュリティレベルが上がることで、自社のリスクも減る

受注企業(中小企業など)にとって

• 何をすればいいかが明確になる
• 取引先ごとに違うチェックリストに対応する負担が減る可能性がある
• ★を取得することで、取引機会を失わない:2027年度以降、取引の条件として「★3以上」などが求められる可能性がある
• 政府や重要インフラ関連の仕事では、★4以上が必須になる可能性がある
• 取引先への説明が簡単になる(「うちは★3です」と言えばOK)

---

5. 企業が今すぐやるべきこと

制度の詳細は**2025年秋頃(10月頃)**に確定し、2026年度に運用開始予定です。今から準備を始めることが重要です。

ステップ1:目標とする「★」を決める

自社が取引先から求められるレベルを想定しましょう。

• 一般的な取引先:★3を目指す
• 重要な情報を扱う、または重要な役割を担う:★4を目指す

ステップ2:現状を把握する

今の自社のセキュリティ対策と、目標とする★レベルとの差を確認します。

• どの対策ができていて、何が足りないのか?
• 対策にどれくらいの費用や時間がかかるのか?

ステップ3:計画を立てて実行する

特に以下の対策は、制度の確定を待たずに今すぐ始めるべきです。

• 多要素認証の導入:パスワードだけでなく、もう1つの認証方法を追加する
• ソフトウェアの定期更新:脆弱性が見つかったらすぐに対応する仕組みを作る
• バックアップ体制の整備:重要なデータを定期的にバックアップする
• 取引先の確認:重要な取引先のセキュリティ状況を把握する

---

まとめ

この「サプライチェーンセキュリティ評価制度」は、単なる規制ではありません。日本全体、そして個々の企業がサイバー攻撃から身を守るための仕組みです。

2026年の運用開始まで、あと約1年。この制度の動向を注視し、早めに対策を進めることが、今後のビジネスを守ることにつながります。

まずは自社が目指すべき「★」のレベルを確認し、できることから始めてみましょう。