企業のビジネスは、単独で完結するものではありません。製品の開発、運用、保守、販売 ——そのすべての工程に、多数の取引先や委託先が関わっています。この企業同士のつながりの連鎖を、「サプライチェーン」と呼びます。
近年、このサプライチェーンがサイバー攻撃の標的となっています。攻撃者は、セキュリティの堅い大企業を狙うのではなく、その周囲にある”比較的セキュリティの甘い取引先”を狙う手口を多用するようになりました。
こうした背景を受け、経済産業省と内閣官房国家サイバー統括室(NCSC)は「サプライチェーン強化に向けたセキュリティ対策評価制度」を設計しました。
サプライチェーン評価制度とは?意味を分かりやすく解説
サプライチェーン評価制度とは、取引先や委託先のセキュリティ対策レベルを「共通基準」で評価する仕組みです。企業間取引におけるセキュリティ対策状況を、★3~★5(*1)などの段階で見える化し、サプライチェーン全体のセキュリティ水準を底上げすることを目的としています。
これまでの企業間のセキュリティ確認は、
・独自チェックシート
・個別監査
・Excelによる回答依頼
など、企業ごとに基準や確認方法が異なっていました。その結果、取引先側では「会社ごとに異なる確認への対応負荷が大きい」という課題がありました。
サプライチェーン評価制度では、共通基準を設けることで、
・ 発注側:取引先のセキュリティ状況を判断しやすい
・ 受注側:個別対応の負荷軽減につながる
といった効果が期待されています。
(*1)★1~★2はIPAが運営する制度SECURITY ACTIONをご参照ください。
★3・★4・★5の違い
本制度では、企業が取引先に提示できるレベルとして★3~★5が定義されています。概要は、以下のとおりです。
・★3:基本的なセキュリティ対策ができている
・★4:対策を継続的に運用・監視できている
・★5:高度な管理ができている
| ★3 | ★4 | ★5 | |
|---|---|---|---|
| 想定される脅威 | 一般的なサイバー攻撃 | サプライチェーンへの大きな影響をもたらす攻撃・機密情報の漏えい | 未知の攻撃を含む高度なサイバー攻撃 |
| 要求事項数 | 26件 | 43件 | 今後検討 |
| 評価スキーム | 専門家確認付き自己評価 | 第三者評価(実地審査・技術検証含む) | 第三者評価 |
| 有効期間 | 1年 | 3年 | 今後検討 |
| ベンチマーク | 自工会・部工会ガイドラインLv1、Cyber Essentials | 自工会・部工会ガイドラインLv2〜3、分野別ガイドライン等 | ISO/IEC 27001、自工会・部工会ガイドラインLv3等 |
※抜粋:経済産業省 “サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(2026年3月27日)” p13
★3:基本的なセキュリティ対策の実施
★3は、広く認識された脆弱性などを悪用する一般的なサイバー攻撃を想定しています。「すべてのサプライチェーン企業が最低限実装すべき、基本的なセキュリティ対策」という位置づけです。これまでは、自社完結の「自己宣言」でしたが、★3からは「専門家(一定のセキュリティ関連資格を有し、かつ、制度側で指定した研修を受講した者)の確認」が必要になるため、取引先に対して客観的な証明として使えるようになります。
★3の主な要求事項
| 大分類 | ★3の要求事項(例) |
|---|---|
| ガバナンスの整備 | ・自社のセキュリティ担当の明確化 ・セキュリティ対応方針の策定 |
| 取引先管理 | ・他社との機密情報の取扱い明確化 ・接続している外部情報サービスの把握 |
| リスクの特定 | ・情報資産やネットワークの把握 ・外部情報サービスの管理 |
| 攻撃等の防御 | ・ID管理手続、アクセス権限の設定 ・パスワードの安全な設定及び管理 ・内外ネットワーク境界の分離・保護 ・適時のアップデート適用、不要ソフトウェアの削除 ・端末等へのマルウェア対策 |
| 攻撃等の検知 | ・ネットワーク接続・データの監視 |
| インシデントへの対応 | ・インシデント対応手順の作成 |
| インシデントからの復旧 | ・インシデント発生から復旧するための対策の整備 |
★3の評価スキーム
① 取得希望組織は、★3要求事項・評価基準に基づき自己評価を実施
② 社内外のセキュリティ専門家が内容を確認・助言
③ 経営層による自己適合宣言を含め、事務局へ評価結果を提出
④ 事務局が確認後、台帳に登録し、公開
有効期間は1年で、毎年更新が必要です。
★4:継続的な運用・監視
★4は、★3で求められる一般的なサイバー攻撃への対応に加え、供給停止や機密情報漏えいなど、サプライチェーン全体に大きな影響をもたらす攻撃への対応が求められます。
そのため、組織ガバナンス・取引先管理・システム防御・検知・インシデント対応など、より包括的なセキュリティ対策を実施しているかを、審査や技術検証を通じて評価します。
★4で追加される主な要求事項
★4では、★3の26件に加え、17件の要求事項が追加されて計43件となります。★4で特に強化される領域は以下のとおりです。
| 大分類 | ★4での追加・強化要求事項(例) |
|---|---|
| ガバナンスの整備 | ・定期的な経営層への報告、不備の是正等 |
| 取引先管理 | ・機密情報共有先の把握 ・重要な取引先等の対策状況把握 ・インシデント発生時の他社との役割等の明確化 |
| リスクの特定 | ・脆弱性管理体制・管理プロセスの明確化 |
| 攻撃等の防御 | ・重要な保管データの暗号化 ・ログの収集・定期的な分析の実施 ・社内システムにおける適切なネットワーク分離 ・社外への不正通信の遮断(出口対策) |
| 攻撃等の検知 | ・情報機器等の状態・挙動の監視・対応や分析 |
| インシデントからの復旧 | ・復旧ポイント・復旧時間を満たす手順等の整備 |
★4の評価スキーム(★4を認定するための一連の仕組み)
★4は第三者機関(評価機関・技術検証事業者)による評価が必要です。
① 取得希望組織は、★4要求事項・評価基準に基づき自己評価を実施
② IPA指定委員会が指定した評価機関に検証・評価を依頼
③ 評価機関が文書確認・実地審査(ヒアリング、規程・操作画面等の確認)・技術検証(VPN装置・ルータ等への脆弱性検査)を実施
④ 評価報告書を事務局へ提出
⑤ 事務局が確認後、台帳に登録し、公開
有効期間は3年です。有効期間内は年次での自己評価(結果を評価機関に提出)をもって維持できます。
★5:高度な対策の実装(令和8年度以降に具体化予定)
★5は、未知の攻撃も含む高度なサイバー攻撃に対応するレベルです。サプライチェーン企業がさらに目指すべき高度な対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な対策を整備した上で、現時点でのベストプラクティスに基づく対策を実施する形を想定しています。
★5では、ISMS適合性評価制度との整合にも配慮しつつ、★3・★4との整合を踏まえながら要求事項・評価スキームを令和8年度以降に具体化していく予定です。
サプライチェーン評価制度で求められるセキュリティ対策の実務要件
サプライチェーン評価制度では、単にセキュリティ対策を導入しているかどうかではなく、実際の運用レベルでどのような対策が講じられているかが重要視されます。ここでは、評価の前提となる代表的な実務要件を整理します。
■ ログ管理・監視
システムやネットワーク機器、アプリケーションなどから出力されるログを適切に取得し、継続的に監視できる体制が求められます。不正アクセスや異常な操作の兆候を早期に把握するための基本的な仕組みとして位置付けられています。
■ アクセス制御・認証
システムへのアクセス権限を適切に管理し、不要な権限付与や不正なログインを防止することが求められます。
特に、ID・パスワード管理だけでなく、多要素認証や権限の最小化といった考え方が重要になります。
■ インシデント対応・追跡
セキュリティインシデントが発生した際に、迅速に状況を把握し、原因や影響範囲を追跡できる体制が必要とされています。そのためには、過去の操作履歴や通信記録などを適切に参照できる環境が前提となります。
この3つは個別の対策ではなく、相互に連携することで初めて有効に機能します。特にログ管理は、アクセス制御やインシデント対応の基盤となる重要な要素です。
Logstorageで対応できる主な要件
前述した通り、サプライチェーン評価制度で求められる実務要件は、それぞれ独立した対策ではなく、相互に連携して機能することが重要です。中でもログ管理は、不審な事象の検知やインシデント発生時の追跡、継続的な監視を支える基盤となります。
サプライチェーン評価制度の★3・★4では、ログの取得・保管・分析・監視に関連する要求事項が複数含まれています。Logstorageは、各種システムやネットワーク機器、クラウドサービスなどのログを統合的に管理し、これらの要件への対応を支援します。
ここでは、サプライチェーン評価制度における要求事項の一部と、Logstorageで実現できる対応例をご紹介します。
| 評価基準(*1) | 内容(*1) | Logstorageでの対応 |
|---|---|---|
| ★3 5-1-1-1 | 社内外ネットワークの境界又は端末において、インターネットから社内への通信及び社内から不正なサーバへの通信の双方について、不正アクセスをリアルタイム検知・遮断する仕組みを導入すること。 | Logstorageではログのリアルタイム収集を行い、収集したログに不審な事象が含まれている場合は、 検知機能による即時アラートが可能。遮断する仕組みについてはEDR製品などでの対応が必要。 検知機能:https://logstorage.com/function/analyze/detect/ |
| ★4 1-2-2-2 | 入手した情報及びログの相関分析により、サイバー攻撃の予兆及びインシデントの発生の検知を可能とし、インシデントの防止及びインシデントが発生した場合の対応が導き出せる体制を整備すること。 | Logstorageでは、さまざまなシステムのログを統合的に管理でき、横断的な分析が可能。 分析機能として(検索、集計、検知、レポート、インサイト)機能を有しており、ログ情報に含まれるサイバー攻撃や不正につながるアクションやその頻度、時間帯などに応じた想定外の動きを検知、レポーティングすることで、サイバー攻撃の予兆やインシデントの発生を把握することが可能。 分析機能:https://logstorage.com/function/analyze/ |
(*1)出典:IPA「★3・★4 要求事項・評価基準」
この他にも、ログの長期保管や監査証跡管理、異常検知(ポリシー設定による)、レポート作成など、サプライチェーン評価制度への対応を支援する機能を備えています。
サプライチェーン評価制度への対応では、単にログを保存するだけでなく、収集・監視・分析・レポートまで含めた継続的な運用が重要になります。
Logstorageは、統合ログ管理基盤として、サプライチェーン評価制度への対応に必要となる継続的な監視・分析・レポート運用を支援します。
