経済産業省は、製造業などのサプライチェーン（供給網）に迫るサイバー攻撃に備えた企業のセキュリティー対策を格付けする制度を2026年度に始める方針を打ち出した。供給網を支える各社の対策を3段階で評価し、取引先がどこまで対策に取り組んでいるかを把握できるようにする。攻撃の脅威が増す中、供給網全体の対応力を底上げすることが狙いだ。

　経産省は、有識者検討会「産業サイバーセキュリティ研究会」傘下の作業部会で、各社に求められるセキュリティー対策を整理し可視化する仕組み「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築に向けた議論を実施。その成果を中間取りまとめとして4月に公表した。この中に、今回の評価制度の方向性を提示した。

想定される3つの脅威に対応

　制度案によると、企業間で取引する際に発注企業が受注側にセキュリティー対策のレベルを星印で示すとともに、対策を促す仕組みを想定。具体的には、供給網で企業が果たす役割の重要性を踏まえた上で、各社が取り組む対策を「3つ星」「4つ星」「5つ星」という3段階で格付けする。既に情報処理推進機構（IPA）が基本的なセキュリティー対策（1つ星）と一歩踏み込んだ対策（2つ星）を自己宣言する制度「SECURITY ACTION」を推奨していることから、3つ星からの区分とすることにした。

　各段階で想定する脅威は、3つ星が広く認知された脆弱性などを悪用する一般的なサイバー攻撃で、4つ星が供給網に大きな影響をもたらす企業への攻撃や機密情報などの資産への攻撃。5つ星では、未知の攻撃を含めた高度なサイバー攻撃を視野に入れている。

　さらに制度案では、各段階の「対策の基本的な考え方」と「評価スキーム」も整理した。中でも4つ星では、供給網の企業が標準的に目指すべきセキュリティー対策を要求。組織のガバナンスや取引先の管理、システムの防御・検知などの包括的な対策を求めた。また評価スキームについては、3つ星が自社の専門家が対策を自己評価する方式を採用。それ以外の段階には、第三者評価を取り入れる見通しだ。

自動車・半導体産業での利用視野

　経産省は、日本自動車工業会と日本自動車部品工業会による「サイバーセキュリティガイドライン」や、情報セキュリティーに関する国際基準への準拠を証明する「ISMS適合性評価制度」などにも着目。国内外の関連制度と相互に補完できる制度として発展させることを狙う。今後は、今年度中に評価スキームの具体化に向けた実証事業を進めるほか、制度の利用を促すための施策の検討も実施。主な利用先としては、高度なセキュリティー対策を求める政府機関や重要インフラ事業者に加えて、企業間の結びつきが強い自動車や半導体といった主要製造業を想定している。

　 企業のセキュリティー対策を評価する背景には、供給網の弱点を突く「サプライチェーン攻撃」の脅威の高まりがあり、対策の強化が急がれている。ただ、製造業の場合、部品を発注するメーカーが取引先の対策状況を判断することが難しいといった課題に直面。一方で受注するサプライヤーは、一定の対策の必要性を感じながらもレベル感が分からないといった悩みを抱えており、業種横断的に参照できる評価制度が求められていた。経産省商務情報政策局の担当者は「適切なセキュリティー対策の実施を促し、サプライチェーン全体でのセキュリティー対策水準の向上を図りたい」と強調している。