Lens Blog
2025/4/28
#ガイドライン

【解説】サプライチェーンセキュリティの新基準:経産省・NISCの評価制度(案)と委託先管理(TPRM)への影響

近年、企業の事業活動に不可欠なサプライチェーンを標的としたサイバー攻撃が深刻化しています。一つの企業のセキュリティ侵害が、連鎖的に他の企業へと波及し、事業停止などの甚大な被害を引き起こすケースも少なくありません。このような背景から、経済産業省と内閣サイバーセキュリティセンター(NISC)は、「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築に向けた検討を進めており、2025年4月14日に中間取りまとめ(以下、本制度案)を公表しました。

本記事では、この新たな評価制度案の概要と、それが企業の委託先管理、すなわちサードパーティリスクマネジメント(TPRM、Third-Party Risk Management)にどのような影響を与えるのか、そして企業はどのように備えるべきかについて解説します。

サプライチェーンセキュリティ対策評価制度(案)とは?

本制度案は、サプライチェーン全体でのセキュリティ対策レベルの向上を目的としています。現状では、発注元企業が委託先の対策状況を正確に把握することが難しく、一方で受注側企業は取引先ごとに異なるセキュリティ要求への対応に苦慮しているという課題があります。本制度案は、これらの課題に対応し、企業の対策状況を「見える化」するための共通の枠組みを提供しようとするものです。

制度創設の背景と目的

サプライチェーンは、製造業だけでなく、サービス業における業務委託やシステム開発委託など、あらゆる業種に存在します。近年、このサプライチェーンの弱点を狙ったサイバー攻撃が増加しており、特にセキュリティ対策が十分でない中小企業が攻撃の起点(踏み台)とされるケースが目立ちます。

このような状況を踏まえ、本制度案は以下の目的を掲げています。

  • サプライチェーン全体のセキュリティレベルの底上げ: 特に中小企業を含めた各社の対策強化を促す。
  • 企業の対策状況の可視化: 客観的な基準に基づき、企業のセキュリティレベルを評価し、示す。
  • 取引におけるセキュリティ要求の合理化: 発注元・受注元双方の負担を軽減し、円滑な取引を促進する。

制度の概要(中間取りまとめ時点)

本制度案は、2026年度中の開始を目指して検討が進められています。現時点での主な内容は以下の通りです。

  • 対象となる組織: サプライチェーンを構成する、業種や規模を問わない幅広い企業・組織が対象となります。

  • 成熟度レベル(段階設定): 企業のセキュリティ対策の成熟度を示す段階(レベル)が設けられる予定です。現時点では、主に以下の3段階が想定されています。

    • 三つ星(★3): 全てのサプライチェーン企業が最低限実施すべき基本的な対策レベル。広く認知された脆弱性を悪用する一般的なサイバー攻撃への対策を想定。基礎的な組織的対策とシステム防御策が中心
    • 四つ星(★4): 供給停止等によりサプライチェーンに大きな影響をもたらす可能性のある企業や、重要情報を扱う企業に求められる対策レベル。★3に加え、より高度な脅威への対策やインシデント対応能力の強化が含まれる
    • 五つ星(★5): 国家レベルの脅威や標的型攻撃など、高度なサイバー攻撃に対抗できる先進的な対策レベル(将来的に検討)

  • 要求事項・評価基準: 各成熟度レベルで求められる具体的なセキュリティ対策項目(要求事項)と、その達成度を測るための評価基準が定められます。これらは、国際標準規格であるISO/IEC 27001や、米国のNIST Cybersecurity Framework(CSF)、政府機関等の情報セキュリティ対策のための統一基準群(政府統一基準)などを参考に作成されています。 【参考資料1】として公開されている一覧には、以下のような分類で具体的な要求事項と評価基準(案)が示されています。

    • ガバナンス: 組織体制、情報セキュリティ方針、役割と責任、法令遵守など
    • 物理的及び環境的セキュリティ: サーバ室等の管理、クリアデスク・クリアスクリーンなど
    • 人的資源のセキュリティ: 従業員の教育・啓発、アクセス権管理、退職者のアクセス権削除など
    • アクセス制御: アカウント管理、パスワード管理、多要素認証の導入など
    • 暗号: データの暗号化(保管時、通信時)など
    • 運用のセキュリティ: マルウェア対策、バックアップ、ログ管理、脆弱性管理など
    • 通信のセキュリティ: ネットワーク管理、ファイアウォール設定、無線LANの保護など
    • 情報システムの取得、開発及び保守: セキュア開発、テストデータの保護など
    • 供給者関係: 委託先管理、契約におけるセキュリティ要求事項など
    • 情報セキュリティインシデント管理: インシデント対応体制、報告手順、原因究明と再発防止など
    • 事業継続マネジメント: 事業継続計画(BCP)の策定と訓練など

  • 評価スキーム(検討中): 企業がどのように評価を受けるかの仕組み(スキーム)については、自己評価や第三者機関による評価などが検討されています。

諸外国の動向

サプライチェーン全体のセキュリティレベルを可視化・評価する動きは、日本独自のものではありません。例えば、フランスではデジタルプラットフォーム事業者などを対象とした「Cyber Score」制度、オーストラリアでは政府機関等に適用される「Essential Eight」といった取り組みが存在します。本制度案も、これらの国際的な動向との連携・整合性を考慮して検討が進められています。

サプライチェーンにおける情報管理・セキュリティの課題

本制度案が目指す背景には、現代のサプライチェーンが抱える特有の課題があります。

サプライチェーンの複雑化とリスク把握の困難さ

今日のビジネスは、多数の外部パートナーとの連携なしには成り立ちません。製品の部品供給から、システムの開発・運用、データの処理、顧客サポートに至るまで、様々な業務が外部に委託されています。サプライチェーンが長く、複雑になるほど、自社だけでなく委託先、さらには再委託先のリスクまで把握し、管理することは極めて困難になります。どこか一か所でもセキュリティ対策が不十分であれば、そこが攻撃の侵入口となり、サプライチェーン全体に影響が及ぶ可能性があります。

中小企業におけるリソース不足

サプライチェーンには多くの中小企業が含まれますが、これらの企業では、セキュリティ対策に十分な予算や専門人材を確保することが難しい場合があります。対策の必要性は認識していても、具体的な進め方が分からない、あるいは日々の業務に追われて後回しになってしまう、といったケースも少なくありません。これがサプライチェーン全体のセキュリティレベルにおける「弱い環」を生み出す一因となっています。

業界特有の課題

業界によっても、抱えるリスクや求められる対策レベルは異なります。

  • 重要インフラ(金融、電力、ガス、水道、通信など): 社会生活への影響が極めて大きく、高度なセキュリティ対策と厳しい規制遵守が求められます。委託先に対しても同等のレベルを要求する傾向があります。
  • 製造業(自動車、半導体など): サプライチェーンが長く、国境を越えることも多いです。一部の部品供給停止が生産ライン全体を止めてしまうリスクがあり、事業継続性の観点からもセキュリティが重要視されます。
  • IT・ソフトウェア開発: 開発プロセスにおける脆弱性の作りこみ防止(セキュアコーディング)や、オープンソースソフトウェアの管理などが課題となります。
  • BPO(ビジネス・プロセス・アウトソーシング)・クラウドサービス: 顧客から預かる重要情報や個人情報を扱うため、データ保護に関する厳格な管理体制と、多様な顧客からのセキュリティ要求に応える必要があります。

従来の委託先管理の限界

多くの企業では、委託先に対してセキュリティに関するアンケート(チェックシート)を送付し、自己評価を求める形式で管理を行っています。しかし、この方法だけでは、委託先の実態を正確に把握することが難しい場合があります。回答の信頼性確認や、形骸化を防ぐための継続的なモニタリングには多大な労力がかかります。

評価制度(案)と委託先管理・サードパーティリスクマネジメント(TPRM)の関係性

本制度案は、企業の委託先管理、すなわちサードパーティリスクマネジメント(TPRM) に大きな影響を与える可能性があります。TPRMとは、自社が業務を委託する外部の事業者(サードパーティ)がもたらす様々なリスク(情報セキュリティ、コンプライアンス違反、事業継続中断、風評被害など)を特定、評価、管理、監視する一連のプロセスです。

本制度案は、このTPRMをより効果的かつ効率的に行うための「ものさし」となることが期待されます。

評価基準の標準化によるメリット

本制度案によって、サプライチェーンにおけるセキュリティ対策の「共通言語」が生まれる可能性があります。

  • 発注元企業(委託元)
    • 委託する業務内容や取り扱う情報の重要性に応じて、委託先に求めるセキュリティレベル(例:★3相当、★4相当)を明確に設定しやすくなります
    • 委託先候補を選定する際の客観的な比較基準として活用できます
    • 従来、各社が独自に作成していた評価基準の一部を、本制度の基準で代替または補完できる可能性があります
  • 受注元企業(委託先)
    • 自社が達成すべきセキュリティレベルの目標が明確になります
    • 複数の取引先から異なる要求を受ける負担が軽減される可能性があります
    • 制度に基づく評価を取得することで、自社のセキュリティ対策レベルを客観的に示し、信頼性をアピールできます

デューデリジェンスと継続的モニタリングの効率化

TPRMの重要なプロセスである、委託開始前のデューデリジェンス(適正評価)や、契約後の継続的モニタリングにおいて、本制度案の評価結果を活用できる可能性があります。

  • デューデリジェンス: 委託先候補が本制度の評価を受けていれば、その結果(★のレベルや評価内容)をデューデリジェンスの一部として利用することで、評価プロセスを効率化できるかもしれません。
  • 継続的モニタリング: 評価結果に有効期限などが設けられれば、その更新状況を確認することで、委託先のセキュリティ対策状況の変化を継続的に把握する一助となります。

ただし、評価結果だけですべてのリスクをカバーできるわけではありません。委託する業務内容に特有のリスクや、契約上の個別の要求事項については、別途確認が必要です。

サプライチェーン全体のセキュリティ向上への貢献

本制度案が普及することで、委託元企業は委託先に対してより具体的なセキュリティ対策を求めやすくなり、委託先企業も対策を進めるインセンティブが高まります。これにより、サプライチェーン全体のセキュリティレベルの底上げが期待されます。特に、これまで対策が進みにくかった中小企業にとっては、目標設定や対策の具体化に役立つ可能性があります。

企業が取るべき対応

本制度案はまだ検討段階ですが、企業は今後の動向を注視し、以下のような対応を検討しておくことが望ましいでしょう。

  • 自社の位置づけの確認: 自社がサプライチェーンの中でどのような役割を担っており、取引先からどの程度のセキュリティレベル(★3または★4以上)を求められる可能性があるかを想定します。
  • 委託先管理(TPRM)プロセスの見直し: 現在の委託先評価基準や契約内容について、本制度案の動向を踏まえて見直しの必要性を検討します。特に、委託先に求めるセキュリティ要件を明確化し、定期的な確認プロセスを確立することが重要です。
  • 自社の対策強化: 自社自身も他の企業から見れば委託先(サードパーティ)である可能性があります。発注元からの要求に備え、本制度案の要求事項(【参考資料1】など)を参考に、自社のセキュリティ対策の現状を評価し、必要な強化策を計画・実行します。

サプライチェーン強化に向けたセキュリティ対策評価制度対応のための委託先管理・サードパーティリスクマネジメント(TPRM)の準備を

本記事では、経済産業省とNISCが検討を進める「サプライチェーン強化に向けたセキュリティ対策評価制度(案)」の概要と、それが企業の委託先管理・サードパーティマネジメント(TPRM)に与える影響について解説しました。

サプライチェーンを介したサイバーリスクは、もはや他人事ではありません。自社のセキュリティ対策はもちろんのこと、取引を行う委託先のセキュリティリスクを適切に管理するTPRMの重要性は、今後ますます高まっていくでしょう。本制度案のような動きは、TPRMをより効果的かつ効率的に実施するための追い風となる可能性があります。

しかし、複雑化するサプライチェーン全体のリスクを継続的に把握し、管理していくことは容易ではありません。Excelなどを用いた手作業での管理には限界があり、抜け漏れや形骸化のリスクも伴います。

Lens RMでは、委託先管理・サードパーティリスク管理ソリューションを提供しています。本記事で解説したような新たな制度動向への対応や、効率的かつ網羅的なTPRM体制の構築について、お気軽にご相談ください。

← 記事一覧に戻る

AIの力で委託先・サードパーティ管理に革新を。

AIの力で委託先・サードパーティ管理を高度化・効率化しませんか? Lens RMは、煩雑な業務を削減し、リスク評価を強化し、包括的なリスクの所在を確かめた上で本質的な対応策や残存リスクの管理に集中することができます。 まずは、お気軽にお問い合わせください。

お問い合わせ