近年、サプライチェーンを踏み台とした大規模な情報漏えい事案が頻発しています。これを受け、発注側が独自の要求事項を定め、受注側に協力を求める動きが広がっていますが、各社各様のセキュリティ対策への対応が受注側にとり大きな負担になることは否めません。また要求事項が統一されていない状況は、各社のサイバーセキュリティ対策の客観的に評価することの難しさにもつながっていました。
こうした課題を解消し、サプライチェーン全体のセキュリティレベルの底上げを図ることが、現在、経済産業省が整備を進めるセキュリティ格付け制度の目的です。特に、受注側に回ることが多い中堅・中小企業にとり、格付け取得はセキュリティ対策の客観的評価の向上に直結します。将来的には、多くのサプライチェーン内取引において格付け取得が必須要件になると推測されています。
経済産業省:サプライチェーン強化に向けたセキュリティ対策強化評価制度<SCS[Supply Chain Security]評価制度/(仮称)>がいよいよスタート
2026/01/27 掲載
セキュリティ格付け制度とは
なぜ中小企業が狙われるのか
サプライチェーンを構成する中小企業がターゲットとされる理由は、攻撃者の視点に立つと容易に理解できます。
ランサムウェア攻撃のような金銭搾取を目的とした攻撃は、資金が潤沢な大企業であればあるほど大きなリターンが期待できます。しかしセキュリティに大きなリソースを割き、高度な対策を講じている大企業のネットワークを攻略することは容易ではありません。一方、大企業を頂点とするサプライチェーンに目を移すと、対策が手薄な中小企業は今も少なくありません。攻撃の第一歩として対策が手薄な中小企業のネットワークに侵入し、そこを踏み台としてアカウント乗っ取りやマルウェアメール発信を試みることは、まさに理にかなった攻撃なのです。
ランサムウェア攻撃のような金銭搾取を目的とした攻撃は、資金が潤沢な大企業であればあるほど大きなリターンが期待できます。しかしセキュリティに大きなリソースを割き、高度な対策を講じている大企業のネットワークを攻略することは容易ではありません。一方、大企業を頂点とするサプライチェーンに目を移すと、対策が手薄な中小企業は今も少なくありません。攻撃の第一歩として対策が手薄な中小企業のネットワークに侵入し、そこを踏み台としてアカウント乗っ取りやマルウェアメール発信を試みることは、まさに理にかなった攻撃なのです。
格付け制度が企業に与える影響は?
サイバーセキュリティ格付け制度は、★3~★5の3段階が想定されています。運用開始後まずは★3と★4からスタートすることになります。なかでも「全てのサプライチェーン企業が最低限実装すべきセキュリティ対策」と位置付けられた★3については、今後業種・業態を問わず取得が必須になるとみられています。
★3取得には26項目の要求事項が設定される見通しですが、そこには「ネットワーク上の適切な場所でネットワーク接続やデータ転送を監視すること」など、具体的な仕組みの構築に関連する要求も含まれます。ネットワーク内部モニタリングは被害拡大防止に不可欠な取り組みといえますが、専任担当者がいない企業の場合、かなり困難な道筋になることも考えられます。
★3取得には26項目の要求事項が設定される見通しですが、そこには「ネットワーク上の適切な場所でネットワーク接続やデータ転送を監視すること」など、具体的な仕組みの構築に関連する要求も含まれます。ネットワーク内部モニタリングは被害拡大防止に不可欠な取り組みといえますが、専任担当者がいない企業の場合、かなり困難な道筋になることも考えられます。
🛡対策のポイント🛡
攻撃の防御・検知の仕組みとしては、UTMなどの入口・出口対策ソリューションを導入済みの企業が大半です。しかし既知のデータに基づきウイルス等の感染を防御する仕組みであるUTMだけでは、システム内部への侵入を許した新種や亜種ウイルスの動きを検知することは困難です。そのため一度ランサムウェアの侵入を許してしまうと、ネットワーク全体への拡散、サーバーへの侵入、さらにはデータ窃取や暗号化が避けられないのが実情です。
UTMによる入口・出口対策に対し、侵入したウイルスの動きを検知して被害拡大を抑止する仕組みは内部対策と呼ばれます。ネットワーク内をモニタリングし、不審な通信を検知、遮断しアラートを通知する内部対策は、ウイルス被害を最小限に抑える上で大きな意味を持ちます。
内部対策の具体的ソリューションは、「セキュリティスイッチ」や「セキュリティアクセスポイント」と呼ばれるセキュリティアプライアンス導入になります。サブゲートのSubGateシリーズは国内出荷実績が10万台を超える、定評ある高性能な内部対策製品群。エンドユーザー様に安心して提案できる内部対策ソリューションになるはずです。
※1:制度名は仮称です(2025年12月26日公表「サプライチェーン強化に向けたセキュリティ対策評価制度 に関する制度構築方針(案)」より)
参考資料
経済産業省|「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))(2025年12月26日公表)https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html
経済産業省|「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」(2025年4月14日公表)https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html
ライター:滝本一帆
UTMによる入口・出口対策に対し、侵入したウイルスの動きを検知して被害拡大を抑止する仕組みは内部対策と呼ばれます。ネットワーク内をモニタリングし、不審な通信を検知、遮断しアラートを通知する内部対策は、ウイルス被害を最小限に抑える上で大きな意味を持ちます。
内部対策の具体的ソリューションは、「セキュリティスイッチ」や「セキュリティアクセスポイント」と呼ばれるセキュリティアプライアンス導入になります。サブゲートのSubGateシリーズは国内出荷実績が10万台を超える、定評ある高性能な内部対策製品群。エンドユーザー様に安心して提案できる内部対策ソリューションになるはずです。
※1:制度名は仮称です(2025年12月26日公表「サプライチェーン強化に向けたセキュリティ対策評価制度 に関する制度構築方針(案)」より)
参考資料
経済産業省|「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))(2025年12月26日公表)https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html
経済産業省|「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」(2025年4月14日公表)https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html