経済産業省が検討するセキュリティ対策評価(格付け)制度?
経済産業省が検討するセキュリティ対策評価(格付け)制度について、現時点で公表されている情報に基づいてレポートします。
1. 制度検討の背景と目的
近年、サプライチェーンを狙ったサイバー攻撃が高度化・巧妙化しており、企業全体のセキュリティ対策だけでなく、取引先を含めたサプライチェーン全体の強靭性強化が喫緊の課題となっています。
このような状況を踏まえ、経済産業省は、企業のセキュリティ対策状況を可視化し、サプライチェーン全体としてのセキュリティレベル向上を目指すため、「サプライチェーン強化に向けたセキュリティ対策評価制度(仮称)」の構築を検討しています。
この制度の主な目的は以下の通りです。
- サプライチェーン全体の強靭性確保: サプライチェーンに関わる企業全体のセキュリティレベルを底上げし、事業継続性とデータ保護を強化します。
- 対策要求の共通化と効率化: 共通の評価軸を設けることで、サプライチェーン対策の重複を排除し、対策状況の確認を効率化します。
- 取引先選定における判断基準: 発注企業が取引先のセキュリティレベルを把握し、より安全な取引先を選定するための判断材料を提供します。
- 企業自身のセキュリティ対策レベル向上: 自社の対策レベルを客観的に認識し、改善を促します。
2. 制度の概要(検討段階)
現時点では制度設計の詳細な内容は検討中ですが、以下の点が示唆されています。
- 5段階の格付け: 企業のサイバーセキュリティ対策レベルを5段階で評価する方向で検討されています。
- レベル1・2: 最低限の対策レベル(自己宣言を想定)。
- レベル3: サプライチェーン形成企業として最低限満たすべき基準(中小企業の情報セキュリティ対策ガイドライン準拠、自己宣言を想定)。
- レベル4: サプライチェーン形成企業としての標準的な基準(各業界のセキュリティ対策ガイドライン等に準拠、第三者認証を想定)。
- レベル5: 重要インフラ及び関連サプライヤーが満たすべき基準(重要インフラのサイバーセキュリティに係る行動計画等に準拠、第三者認証を想定)。
- 既存の評価制度やガイドラインの活用: 既存のセキュリティ評価制度やガイドライン(セキュリティアクション、情報セキュリティ管理基準、IoTセキュリティ適合性評価制度など)を取り込み、一元的な体系化を目指すと考えられます。
- 第三者認証の活用: 高いレベルでは、外部組織による第三者認証を求める方向で検討されています。
- 運用開始時期: 2026年下期からの制度運用開始が計画されています(レベル3、4から開始予定)。2025年上期には実証事業が行われる予定です。
- 取得企業の公表: 格付けを取得した企業を公表することも検討されています。
3. 企業への影響と今後の展望
この格付け制度が導入されることで、企業には以下のような影響が予想されます。
- セキュリティ対策の可視化: 自社のセキュリティ対策レベルが客観的に評価されるようになります。
- 取引における影響: 格付け結果が、取引先の選定基準の一つとなる可能性があり、企業の信頼性に影響を与える可能性があります。
- 対策強化の動機付け: 高い格付けを目指すことで、企業全体のセキュリティ対策レベル向上が期待されます。
- コストと負担: 特に中小企業にとっては、新たな対策の導入や第三者認証の取得に伴うコストや負担が発生する可能性があります。
今後は、実証事業の結果を踏まえ、要求事項や評価基準の詳細が具体化していくと考えられます。企業は、経済産業省からの情報発信を注視し、自社のセキュリティ対策状況の把握と、制度への対応準備を進めていくことが重要となるでしょう。
参考資料
- 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」関連資料
- 関係省庁、業界団体等の公開情報
注記
本レポートは現時点での公開情報に基づいて作成されており、今後の制度設計の進捗によって内容が変更される可能性があります。