はじめに:セキュリティ評価とは
墨蘭/情報セキュリティマネジメント副専門官「セキュリティ評価」とは、企業や組織がサイバー攻撃からどれだけ身を守る対策ができているかを、客観的な基準で測ることです。
例えるなら、家の「防犯診断」のようなもの。鍵がしっかりしているか、窓に防犯フィルムを貼っているか、センサーライトはあるか…といった項目をチェックして、その家の防犯レベルを判定するイメージです。
情報セキュリティの世界では、パスワード管理はできているか、ウイルス対策ソフトは入っているか、従業員への教育はされているか、といった項目を評価します。
なぜセキュリティ評価が必要なのか
墨蘭/情報セキュリティマネジメント副専門官近年、サイバー攻撃は年々巧妙になっています。特に問題となっているのが「サプライチェーン攻撃」という手口です。
これは、セキュリティが堅い大企業を直接狙うのではなく、その取引先である中小企業を経由して侵入する攻撃方法です。情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2025」でも第2位にランクインするなど、ここ数年、サプライチェーン攻撃は常に上位の脅威となっています。
つまり、自社だけがセキュリティを頑張っても、取引先のセキュリティが甘ければ意味がありません。だからこそ、企業同士がお互いのセキュリティレベルを確認できる「共通のものさし」が必要になってきたのです。
2026年スタート!新しいセキュリティ対策評価制度
墨蘭/情報セキュリティマネジメント副専門官こうした背景から、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」を2026年10月以降に開始予定です。
この制度では、企業のセキュリティ対策レベルを★(星)マークで表示します。レストランの格付けのように、一目でその会社の対策状況がわかる仕組みです。
★マークの段階
| レベル | 対象・評価方法 | 内容のイメージ |
| ★1 | 自己宣言 | 「基本の5か条」 OSの更新やパスワード管理など、最低限の対策。 |
| ★2 | 自己宣言 | 「方針の策定」 社内でセキュリティのルールを決めている段階。 |
| ★3 | 自己評価 | 「Basic(基本)」 全ての企業に求められる水準。ここから新制度の対象。 |
| ★4 | 第三者評価 | 「Standard(標準)」 取引先管理を含む、より高度な対策ができている。 |
| ★5 | 第三者評価 | 「Advanced(高度)」 最高レベルの対策(※詳細は今後決定)。 |
墨蘭/情報セキュリティマネジメント副専門官★1・★2は既存の「SECURITY ACTION」という自己宣言制度を活用。★3以上が今回の新制度の対象です。
評価される主な項目
- ガバナンス整備:セキュリティを管理する体制があるか
- 取引先管理:取引先のセキュリティも確認しているか
- リスクの特定:どこに危険があるか把握しているか
- システムの防御:ウイルス対策やアクセス制限ができているか
- 攻撃の検知:不正アクセスに気づける仕組みがあるか
- インシデント対応・復旧:問題発生時に対処できるか
これらは、アメリカのNISTという機関が作った国際基準「Cybersecurity Framework 2.0」にも準拠しています。
私たちの生活にどう影響する?
企業への影響
この制度は任意ですが、今後は取引条件として求められる可能性があります。例えば、大企業が「★3以上の会社としか取引しない」と決めた場合、対応できない企業は仕事を失うかもしれません。
逆に言えば、しっかり対策してセキュリティ評価を取得した企業は、取引先からの信頼が高まり、ビジネスチャンスが広がる可能性もあります。
一般消費者への影響
直接的な影響は少ないですが、この制度が普及すれば、企業全体のセキュリティレベルが底上げされます。その結果、個人情報の流出リスクが減り、より安心してサービスを利用できるようになることが期待されます。
まとめ:セキュリティ評価は「信頼の証」
セキュリティ評価とは、サイバー攻撃への備えがどれだけできているかを客観的に測る仕組みです。
2026年から始まる新制度により、企業のセキュリティレベルが★マークで「見える化」されます。これは単なる規制ではなく、サプライチェーン全体を守り、企業間の信頼関係を築くための重要な取り組みです。
墨蘭/情報セキュリティマネジメント副専門官サイバー攻撃がますます巧妙化する中、セキュリティ評価は今後ますます重要になっていくでしょう。
コメント