経済産業省及び内閣官房国家サイバー統括室は12月26日、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))を公表した。
経済産業省及び内閣官房国家サイバー統括室では、サプライチェーンにおける重要性を踏まえた上で満たすべき各企業の対策を提示しつつ、その対策状況を可視化する「サプライチェーン強化に向けたセキュリティ対策評価制度」の検討を進めるために、産業サイバーセキュリティ研究会ワーキンググループ1サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループで、制度の目的や位置付け、要求項目・評価基準の内容、制度の普及のために必要な施策等について有識者・産業界と議論を進め、2025年4月に本制度構築に向けた「中間取りまとめ」を公表している。
中間取りまとめの公表以降、同制度の実証事業に取り組んできた結果を踏まえ、制度の運用体制案、制度で用いるセキュリティ要求事項・評価基準、制度における評価スキームなどを盛り込んだ「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」を取りまとめ、意見公募を開始する。
同制度では、サプライチェーンにおけるリスクを対象にした上で、各企業の立ち位置に応じて必要なセキュリティ対策を提示するため、複数のセキュリティ対策の段階★を設けており、段階を設けることで、限られたリソースの中で自社のリスクを踏まえてセキュリティ対策を行うことが困難な中小企業を中心に、サプライチェーンに属するすべての企業が、容易かつ適切に必要なセキュリティ対策を決定できるようになることが期待される。
同制度の活用促進を通じ、取引先へのサイバー攻撃を起因とした不正侵入等のリスクや製品・サービスの提供が途絶えるリスクの軽減を図り、サプライチェーン全体のセキュリティ対策水準を向上させることが、同制度の目的となっている。
同制度では、下記の3つのセキュリティ対策の段階(★)を設けることを予定している。
★3:全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的なシステム防御策と体制整備を中心に実施する段階
★4:サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知及びインシデント対応等包括的な対策を実施する段階
★5:サプライチェーン企業等が到達点として目指すべき対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施する段階
経済産業省及び内閣官房国家サイバー統括室では今後、意見公募での意見を踏まえて、令和7年度中を目途として当該制度構築方針(案)を成案化するとともに、令和8年度(2026年度)末頃の制度開始を目指す予定。
