EN
セキュリティ対策評価制度に対応するには
“具体的な対策の可視化”が必須
「セキュリティ対策評価制度」は、企業のセキュリティレベルを「★3 三つ星」〜「★5 五つ星」で可視化する仕組みで、「SCS(Supply Chain Security)評価制度」と呼ばれることもあります。
そのうち三つ星、四つ星については2026年度末までの制度開始が予定されています。三つ星から始まっている理由は、すでに運用されている「SECURITY ACTION」制度の「★ 一つ星」および「★★ 二つ星」の延長と位置付けられているためです。(なお、SECURITY ACTIONは2026年4月に申込・管理の新システムが稼働しています)」
※参考:IPA「SECURITY ACTION セキュリティ対策自己宣言」
「SECURITY ACTION」は、中堅・中小企業がセキュリティ対策に取り組むことを自己宣言する制度で、一つ星は「OSやソフトウェアは常に最新の状態に保つ」「ウイルス対策ソフトを導入する」など5項目に取り組むことを自己宣言し、実際に対策を実施する前でも宣言できます。対して二つ星は25項目のセキュリティ対策状況に関する問いに回答し、自社のセキュリティ対策状況を把握した上で、情報セキュリティ基本方針を策定して公開するものです。
「SECURITY ACTION」はすでに開始されており、各種補助金を受給する条件になっている場合もあります。まだ宣言していない場合には、まずはこちらから始めましょう。
セキュリティ対策評価制度に対応するには、自社のセキュリティ対策について、具体的に可視化することが必須となります。評価を受けるにあたり、どのようなセキュリティ対策を実施する必要があるのかを明確にし、対策に要する費用を可視化しておきます。
2026年度末の制度開始に向け、まずは自社が目指す一つ星レベルを策定し、それに伴う運用スケジュールと導入するセキュリティ対策のイメージを検討しておきましょう。
セキュリティ対策評価制度の詳細
セキュリティ対策評価制度が生まれた背景や具体的な内容は次の通りです。
セキュリティ対策評価制度が設けられた背景
前述の大手自動車メーカーや大手印刷会社の例をはじめとして、サプライチェーンを構成する企業、特に中小受託企業を起点としたインシデントが相次いでいます。実際にIPAの「2024年度 中小企業における情報セキュリティ対策に関する実態調査」によると、2023年度にサイバーインシデントの被害を受けたと回答した企業975件のうち、全体の約7割の企業が「取引先に影響があった」と回答しており、もはやセキュリティ対策は各企業個別の課題ではなく、サプライチェーン全体の課題であることが分かります。
※参考:IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査」P.186
こうした事態を受け、委託事業者側がセキュリティ要件をチェックリストなどで明確化し、中小受託事業者に契約の条件として提示するケースが増加しています。しかし、受託事業者側にとってセキュリティ要件を明確化し、その妥当性を評価することは負担となりますし、中小受託事業者側にとっても異なるメーカーの要件に対応することはコスト的にも労力的にも負担となっています。
そこで、各企業が満たすべき具体的なセキュリティ対策を示した上で、それらの対策への取り組み状況を可視化する仕組みが必要とされました。
セキュリティ対策評価制度の目的
セキュリティ対策評価制度を構築する一番の目的は、サプライチェーン全体の底上げにあります。評価を通じて中小受託事業者に適切なセキュリティ対策の実施を促し、サービス停止や情報漏えい、不正侵入などのインシデントリスクを低減します。
また、委託事業者側には、業務に合わせて取引先に要求するレベルを指定することで、中小受託事業者のセキュリティ対策実施状況を容易に把握することができ、自社のセキュリティリスクを低減するというメリットもあります。
セキュリティ対策評価制度は、中小受託事業者、委託事業者双方にとってリスクの低減に資するものと捉えることができます。
これまでの制度と「★3 三つ星」~「★5 五つ星」
各レベルの具体的な内容
「★ 一つ星」~「★★ 二つ星」(SECURITY ACTION)」について
SECURITY ACTIONの「★ 一つ星」、「★★ 二つ星」についてはすでに整備済みのため、すぐに申し込むことができます。また、2026年4月には新システムの稼働が予定されており、これまで1週間程度が必要とされていた自己宣言IDが即座に発行されるなど利便性が向上します。また、SECURITY ACTIONの基準となる「中小企業の情報セキュリティ対策ガイドライン」も、サプライチェーンを強化する内容を盛り込み、2026年3月に改訂が予定されています。申し込みを予定している場合には、定期的にWebサイトを確認しましょう。
参考:IPA「SECURITY ACTION セキュリティ対策自己宣言」
SECURITY ACTIONとセキュリティ対策評価制度はどちらも企業のセキュリティ対策のレベルを評価し、状況の可視化を図る制度ですが、両者の大きな違いは、SECURITY ACTIONが自己宣言であることに対し、セキュリティ対策評価では評価に他者が関わる点にあります。
「★3 三つ星」について
経済産業省の定義によれば、「★3 三つ星」は「全てのサプライチェーン企業が最低限実装すべきセキュリティ対策」と位置付けられており、基礎的なセキュリティ対策およびシステム防御策を中心に実施が求められます。すでに広く認知されているサイバー攻撃への対策が十分かどうかが評価されます。83項目について自社で評価した上で、認定を受けたセキュリティ専門家が内容を確認します。なお、有効期限は1年間です。
先行してサプライチェーン構成企業におけるサイバーセキュリティガイドラインを策定した一般社団法人日本自動車工業会、一般社団法人日本自動車部品工業会のガイドラインにおける「レベル1」に相当する内容となっています。
「★4 四つ星」について
一方、「★4 四つ星」は「サプライチェーン企業等が標準的に目指すべきセキュリティ対策」と位置付けられており、三つ星に加えて取引先企業の管理、システムへの侵入検知、インシデント対応など包括的な対策が十分かどうかが評価されます。157項目について、認証を受けた評価機関が評価を行います。なお、有効期限は3年間です。
前述のサイバーセキュリティガイドラインにおける「レベル2」(一部レベル3を含む)に相当する内容となっています。
「★5 五つ星」について
「★5 五つ星」については、2026年3月現在で評価基準や評価スキーム等の検討が行われている段階ですが、「サプライチェーン企業等が到達点として目指すべき対策」と位置付けられており、評価時点においてベストプラクティスな対策の実施が求められます。今後、ISMS(Information Security Management System、情報セキュリティマネジメントシステム)認証など、既存の評価制度との整合性を取りながら詳細が決定される予定です。
なお、三つ星~五つ星は上位互換となっているため、例えば四つ星が必要な場合には三つ星の評価を経ずに直接四つ星の評価を受けることができます。
スケジュール
2026年3月現在、三つ星、四つ星については制度の詳細化および運用開始準備が進められており、2026年下期の運用開始が想定されています。また、2027年度以降には取得企業の公表も予定されています。
五つ星については、現在評価基準や評価スキームなどの検討が進められており、開始予定時期については引き続き議論されることとなっています。
表:各レベルの概要
| レベル | SECURITY ACTION | セキュリティ対策評価制度 | |||
|---|---|---|---|---|---|
| ★ 一つ星 | ★★ 二つ星 | ★3 三つ星 | ★4 四つ星 | ★5 五つ星 | |
| 概要 | セキュリティ対策への取り組み宣言 | 自社のセキュリティ取り組み状況の公開 | サプライチェーン構成企業として最低限のセキュリティ対策 | サプライチェーン構成企業として標準的なセキュリティ対策 | サプライチェーン構成企業が目指すべきセキュリティ対策 |
| 評価方式 | 自己宣言 | 自己宣言 | 専門家確認付き自己評価 | 評価機関による評価 | 評価機関による評価 |
| 実施時期 | 整備済み | 整備済み | 2026年度末までに開始予定 | 2026年度末までに開始予定 | 2026年3月現在、基準、評価スキーム等を検討中 |
| 有効期限 | 無期限 | 無期限 | 1年間 | 3年間 | 検討中 |
評価に向けてすぐに進めるべき準備
「★3 三つ星」、「★4 四つ星」の評価を受けるには数カ月~半年程度かかることが想定されます。また、制度開始後に評価に向けた取り組みを開始した場合には、さらに長期間が必要となる可能性もあります。
セキュリティリスクを軽減して制度開始後に速やかに評価を受けるためにも、現時点から次に示す3ステップの準備を進めておくと良いでしょう。
1.「★3 三つ星」「★4 四つ星」の概要を理解する
まずは三つ星、四つ星それぞれの概要を理解する必要があります。両者の違いをまとめると次表のようになります。
表:三つ星と四つ星の主な違い
| ★3 三つ星 | ★4 四つ星 | |
|---|---|---|
| 位置付け | Basic | Standard |
| 概要 | サプライチェーン構成企業として最低限のセキュリティ対策 | サプライチェーン構成企業として標準的なセキュリティ対策 |
| 想定される脅威 | 一般的なサイバー攻撃 | サプライチェーンに大きな影響をもたらす攻撃 |
| 評価方式 | 自己評価 | 第三者評価 |
| 評価ポイント | 自社IT基盤への侵入対策・被害拡大防止策 | 取引先を含むサプライチェーン全体のリスク低減・強靱化 |
| 評価における実地審査 | なし | あり |
| 評価における技術検証 | なし | あり |
四つ星では、文書の確認に加え、評価機関による実地審査、技術検証が行われる、といった違いがあることを押さえておきましょう。
2.どちらのレベルを目指すかを決定する
三つ星、四つ星の概要を把握したら、自社がどちらを目指すべきかを決定します。
「事業継続リスク」と「情報管理リスク」の観点からレベルを決定する考え方が、サプライチェーン強化に向けたセキュリティ対策評価制度に関する経済産業省のサブワーキンググループ事務局より紹介されています。
図:三つ星・四つ星適用の考え方
以下のいずれかに当てはまる場合は、四つ星の適用を検討しましょう。
- 事業継続リスクとして「取引先の事業中断により自社の事業継続上重要な業務に許容できない遅延等が生じ得る」
- 情報管理リスクとして「取引先へのサイバー攻撃等により自社の機密等に係る情報管理に重大な影響が生じ得る」
なお、四つ星の評価項目は三つ星の評価項目を包含する内容となっています。
どちらを選ぶべきか迷う場合は、将来的に四つ星の評価が必要になった場合や取引先から四つ星の評価を求められた場合などに備え、四つ星の取得を目指すことをおすすめします。将来的に五つ星の取得を目指す場合にも、四つ星を取得しておくことが近道となります。
3.「星(★)」取得に必要なセキュリティ対策を検討する
目指すレベルが決定したら、取得に必要なセキュリティ対策を洗い出し、確保すべき予算や実装スケジュールを検討します。
適用範囲について
詳細は未定ですが、適用範囲に必ず含まれるものとして下記が発表されています。
- Webサーバーやメールサーバーなどのインターネット公開サーバー
- パソコンやモバイル機器など業務に使用するエンドポイント
- ファイアウォール、ルーター、VPN機器などネットワーク境界に設置する機器
これらについて、必要なセキュリティ対策が施されているかを予め確認しておきましょう。
評価基準について
評価基準としては、米国立標準技術研究所(NIST)が策定したサイバーセキュリティフレームワーク「NIST CSF」の6つのコア機能にもとづいています。
- 統治(GV)
- 識別(ID)
- 防御(PR)
- 検知(DE)
- 対応(RS)
- 復旧(RC)
これらをもとに、「ガバナンスの整備」「取引先管理」「リスクの特定」「攻撃等の防御」「攻撃等の検知」「インシデントへの対応」「インシデントからの復旧」の7つの大分類を設けることが予定されています。
小分類は次表のように三つ星と四つ星とで異なります。詳細についてはサプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ事務局が公開している「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」の各章を確認してください。
表:セキュリティ評価基準
| 大分類 | ★3 三つ星 | ★4 四つ星 | NIST CSFにおける機能 |
|---|---|---|---|
| ガバナンスの整備 | 企業として最低限のリスク管理体制の構築 | 継続的改善に資するリスク管理体制の構築 | 統治(GV) |
| 取引先管理 | 取引先に課す最低限のルール明確化 | 取引先の管理・把握及び取引先との役割・責任の明確化 | |
| リスクの特定 | 自社IT基盤や資産の現状把握 | 脆弱性など最新状況の把握と反映 | 識別(ID) |
| 攻撃等の防御 | 不正アクセスに対する基礎的な防御 | 多層防御による侵入リスクの低減 | 防御(PR) |
| 端末やサーバーの基礎的な保護 | |||
| 攻撃等の検知 | ネットワーク上の基礎的な監視等 | 迅速な異常の検知 | 検知(DE) |
| インシデントへの対応 | インシデント発生に備えた対応手順の整備 | 対応(RS) | |
| インシデントからの復旧 | インシデント発生から復旧するための対策の整備 | インシデントからの復旧手順等の整備 | 復旧(RC) |
今後の展開(まとめ)
2026年度に開始が予定されている「セキュリティ対策評価制度」は、サプライチェーン全体の強靱化を目指した取り組みです。
サプライチェーンを構成する中堅・中小企業がサイバー攻撃の標的となり、サプライチェーン全体に影響が及ぶ事例が数多く報告されている現在、サプライチェーンの強靱化は喫緊の課題と言えます。そういった意味では、サプライチェーン全体の底上げ、セキュリティ対策における中小受託事業者の負担軽減を目的としたセキュリティ対策評価制度は、サプライチェーンを構成する中堅・中小企業にとって避けては通れない課題と言えるでしょう。
今後のスケジュール
本文中でも紹介した通り、2026年3月現在では次のような状況です。
- 「★3 三つ星」「★4 四つ星」:制度の詳細化および運用開始準備が進行中
- 「★5 五つ星」:評価基準やスキームを検討中(開始時期未定)
評価を受けることを検討している場合は、経済産業省のWebページなどを定期的にチェックし、最新状況を確認した上で準備を進めましょう。
具体的な対応に迷ったら
中堅・中小企業が単独で評価に向けた準備を進めることは容易ではありません。特に評価機関による実地審査、技術検証を伴う星4レベルへの対策は負担が大きい可能性があります。そういった場合には、外部組織の支援を活用することも有効な手段となります。
NTTドコモビジネスの「セキュリティYOROZU相談」は、月額税込3,300円でセキュリティのプロが直接対応する相談サービスです。
- 「★ 一つ星」取得に向けたセキュリティに関する疑問を解消、現状のセキュリティ対策の可視化を支援
- 「★★ 二つ星」取得に向けたEPPやUTMなどの必要な機器の導入支援、情報セキュリティ基本方針の策定支援
- 「★3 三つ星」取得支援(調査/可視化/実装/自己評価)
- 「★4 四つ星」取得支援(アセスメントの実施/内部の診断/外部の診断/ワークショップ/報告会 など)
セキュリティ対策評価制度について検討中であれば、NTTドコモビジネスまでお気軽にご相談ください。
※本記事の内容は、2026年3月の情報をもとに作成しています。
