2025年4月14日、経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度」に関する中間取りまとめを発表しました。
これは、サイバー攻撃の被害がサプライチェーン全体に波及するリスクが高まる中、取引先との間でセキュリティ対策を共通の物差しで評価・確認できる仕組みをつくろうというものです。
みなさんご存知でした??
こんな制度が検討されていたことを、私は今回初めて知りました!
実はこの制度、2023年に開催された「サイバーセキュリティタスクフォース」で検討がスタートしており、2024年度を通じて議論・試行が進められていて、2026年度からの本格運用を目指しているとのこと。
なんと!来年やんっヽ(; ゚д゚)ノ !!
(https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html)
そもそも、「セキュリティ対策評価制度」って何??
経産省でセキュリティ関連だと、
SECURITY ACTIONとかISMSとか他にも評価制度があるので、
それらと何が違うんだろう??
概要の説明資料は以下のように記載されています。
↓
背景と課題:取引先ごとに異なるセキュリティ要求がある中、対策状況の見える化が困難。
↓
制度概要:★3~★5の3段階評価で、自己評価または第三者評価によりセキュリティ水準を可視化。
↓
今後の展開:2026年度中に制度運用を開始予定。政府調達や重要インフラ、取引要件での活用を想定。
言ってることはごもっともですが、他の評価制度も同じのような・・?
そんな疑問に答えるように、
他の評価制度との関係についても、以下のように整理されています。
↓
”先行する自己評価の仕組みである「SECURITY ACTION」(一つ星及び二つ星)、「JAMA・JAPIA自工会/部工会サイバーセキュリティガイドライン」や国際標準である「ISMS適合性評価制度」等とは相互補完的な制度として発展することを目指す”とのこと。
何だか複数の評価制度が乱立している気もしないでもない、というのが個人的な感想ですが、
「SECURITY ACTIONだけ」では軽すぎて信頼されない
かといって「ISMS」はコストもかかるし負担が大きい
そういう企業も段階的に取り組みやすいってことなのかな。
それでも、★4とか★5については、第三者評価が必要なようですし、
維持するにもコストはかかると思いますけど。
レベル的にはこんな感じ。
↓
普及するのかどうか怪しい気もしますが、
2026年の制度開始に向けて検討が進められているようですし、今後も要チェックです!
