「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました

4.14 (月) 04:00
0
0

経済産業省は、サプライチェーンにおける重要性を踏まえた上で満たすべき各企業のセキュリティ対策を提示しつつ、その対策状況を可視化する仕組みの構築に向けた検討を進め、本日、現時点での検討の概要を「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」として公表しました。
今後、2026年度の制度開始を目指し、実証事業や制度運営基盤の整備、利用促進に向けた各種施策の実行等を進めていく予定です。

1.背景・趣旨

近年、サプライチェーンに起因するサイバー・インシデントを背景に、企業の取引においてもサイバーセキュリティ対策の担保が求められる中、受注企業が異なる取引先から様々な対策水準を要求され、発注企業は外部から各企業等の対策状況を判断することが難しいといった課題が存在しています。

こうした課題に対応するため、サプライチェーンにおける重要性を踏まえた上で満たすべき各企業の対策を提示しつつ、その対策状況を可視化する仕組み(「サプライチェーン強化に向けたセキュリティ対策評価制度」)の検討を進めるべく、産業サイバーセキュリティ研究会ワーキンググループ1サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループにおいて、制度の目的や位置付け、要求項目・評価基準の内容、制度の普及のために必要な施策等について有識者・産業界とも継続して議論を実施してきました。こうした検討内容を「中間取りまとめ」として取りまとめました。

2.「中間取りまとめ」の概要

「中間取りまとめ」は、「サプライチェーン強化に向けたセキュリティ対策評価制度」の概要を整理したものであり、以下の方針を示しています。

制度趣旨

  • 本制度に基づくマークの取得を通じて、ビジネス・ITサービスサプライチェーンにおける、取引先へのサイバー攻撃を起因とした情報セキュリティリスク/製品・サービスの提供途絶や取引ネットワークを通じた不正侵入等のリスクに対する適切なセキュリティ対策の実施を促し、サプライチェーン全体でのセキュリティ対策水準の向上を図る。
  • 具体的には、2社間の取引契約等において発注企業が、受注側に適切な段階(★)を提示し、示された対策を促すとともに実施状況を確認することを想定。

目指す効果

  • サプライチェーンにおけるリスクを対象にした上で、その中での立ち位置に応じて必要な対策を提示することで、企業の対策決定を容易・適切なものにする。
  • すべてのサプライチェーン企業が対象となるが、特にサプライチェーンを構成する中小企業は、セキュリティ対策におけるリソースが限られていること/自社のリスクを踏まえてセキュリティ対策を行うことはハードルが高いことから、活用による効果が大きい。

基準の考え方

  • 求められるセキュリティ対策について、各企業のサプライチェーンにおける重要性や影響度を踏まえた上で、区分を★3、★4、★5の3つに分けることを想定。具体的には、(1)ビジネス観点(データ保護・事業継続における重要度)及び(2)システム観点(接続の有無)の2点でそれらの区分を整理。
    ※先行する自己評価制度の仕組みである「SECURITY ACTION」にて一つ星、二つ星の区分を設けているため、★3からの区分としている。
  • これらの考え方や海外での類似制度(英国の「Cyber Essentials」)や各産業のガイドライン(「JAMA・JAPIA自工会/部工会サイバーセキュリティガイドライン」や他の産業分野別ガイドライン等)の内容を踏まえつつ、米国立標準技術研究所(NIST)の「Cybersecurity Framework 2.0」等にも基づき、「ガバナンス整備、取引先管理、リスクの特定、システムの防御、攻撃等の検知、インシデントとの対応・復旧」の観点から、まずは★3及び★4についての考え方や対策事項・要求項目について整理を実施。

制度において設ける段階の考え方

  • ★3 Basic:全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的なシステム防御策と体制整備を中心に実施(自己評価(25項目))
  • ★4Standard:サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施(第三者評価(44項目)※)
    ※第三者評価を原則とするが、評価コストの負担を抑える観点から、詳細は今後検討予定。
  • ★5:サプライチェーン企業等が到達点として目指すべき対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施(第三者評価(対策項目は今後検討予定))
(注)上位の基準はそれ以下の基準で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係とはならない。

国内外の関連制度等との連携・整合

  • 先行する自己評価の仕組みである「SECURITY ACTION」(一つ星及び二つ星)、「JAMA・JAPIA自工会/部工会サイバーセキュリティガイドライン」や国際標準である「ISMS適合性評価制度」等とは相互補完的な制度として発展することを目指す。
  • 具体的には、現在の★3、★4の要求項目案は「JAMA・JAPIA自工会/部工会サイバーセキュリティガイドライン」の内容とも整合性を一定程度確保しており、同ガイドラインに基づく自己評価に際しての本制度での活用等、連携のあり方については、運営団体とも議論を進めていく。また、海外の類似制度についても、将来的な相互認証の可能性も念頭に、引き続き調査・意見交換を実施する。

3.今後の予定

2026年度の制度開始を目指し、実証事業等を通じた評価スキームの具体化や制度の利用促進のための施策の検討等を進めていく予定です。

関連資料

関連リンク

担当

商務情報政策局 サイバーセキュリティ課長 武尾
担当者:味木、長谷川
電話:03-3501-1511(内線 3964)
メール:bzl-cyber-madoguchi★meti.go.jp
※[★]を[@]に置き換えてください。

経済産業省は、サプライチェーンにおける重要性を踏まえた上で満たすべき各企業のセキュリティ対策を提示しつつ、その対策状況を可視化する仕組みの構築に向けた検討を進め、本日、現時点での検討の概要を「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」として公表しました。
今後、2026年度の制度開始を目指し、実証事業や制度運営基盤の整備、利用促進に向けた各種施策の実行等を進めていく予定です。

1.背景・趣旨

近年、サプライチェーンに起因するサイバー・インシデントを背景に、企業の取引においてもサイバーセキュリティ対策の担保が求められる中、受注企業が異なる取引先から様々な対策水準を要求され、発注企業は外部から各企業等の対策状況を判断することが難しいといった課題が存在しています。

こうした課題に対応するため、サプライチェーンにおける重要性を踏まえた上で満たすべき各企業の対策を提示しつつ、その対策状況を可視化する仕組み(「サプライチェーン強化に向けたセキュリティ対策評価制度」)の検討を進めるべく、産業サイバーセキュリティ研究会ワーキンググループ1サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループにおいて、制度の目的や位置付け、要求項目・評価基準の内容、制度の普及のために必要な施策等について有識者・産業界とも継続して議論を実施してきました。こうした検討内容を「中間取りまとめ」として取りまとめました。

2.「中間取りまとめ」の概要

「中間取りまとめ」は、「サプライチェーン強化に向けたセキュリティ対策評価制度」の概要を整理したものであり、以下の方針を示しています。

制度趣旨

  • 本制度に基づくマークの取得を通じて、ビジネス・ITサービスサプライチェーンにおける、取引先へのサイバー攻撃を起因とした情報セキュリティリスク/製品・サービスの提供途絶や取引ネットワークを通じた不正侵入等のリスクに対する適切なセキュリティ対策の実施を促し、サプライチェーン全体でのセキュリティ対策水準の向上を図る。
  • 具体的には、2社間の取引契約等において発注企業が、受注側に適切な段階(★)を提示し、示された対策を促すとともに実施状況を確認することを想定。

目指す効果

  • サプライチェーンにおけるリスクを対象にした上で、その中での立ち位置に応じて必要な対策を提示することで、企業の対策決定を容易・適切なものにする。
  • すべてのサプライチェーン企業が対象となるが、特にサプライチェーンを構成する中小企業は、セキュリティ対策におけるリソースが限られていること/自社のリスクを踏まえてセキュリティ対策を行うことはハードルが高いことから、活用による効果が大きい。

基準の考え方

  • 求められるセキュリティ対策について、各企業のサプライチェーンにおける重要性や影響度を踏まえた上で、区分を★3、★4、★5の3つに分けることを想定。具体的には、(1)ビジネス観点(データ保護・事業継続における重要度)及び(2)システム観点(接続の有無)の2点でそれらの区分を整理。
    ※先行する自己評価制度の仕組みである「SECURITY ACTION」にて一つ星、二つ星の区分を設けているため、★3からの区分としている。
  • これらの考え方や海外での類似制度(英国の「Cyber Essentials」)や各産業のガイドライン(「JAMA・JAPIA自工会/部工会サイバーセキュリティガイドライン」や他の産業分野別ガイドライン等)の内容を踏まえつつ、米国立標準技術研究所(NIST)の「Cybersecurity Framework 2.0」等にも基づき、「ガバナンス整備、取引先管理、リスクの特定、システムの防御、攻撃等の検知、インシデントとの対応・復旧」の観点から、まずは★3及び★4についての考え方や対策事項・要求項目について整理を実施。

制度において設ける段階の考え方

  • ★3 Basic:全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的なシステム防御策と体制整備を中心に実施(自己評価(25項目))
  • ★4Standard:サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施(第三者評価(44項目)※)
    ※第三者評価を原則とするが、評価コストの負担を抑える観点から、詳細は今後検討予定。
  • ★5:サプライチェーン企業等が到達点として目指すべき対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施(第三者評価(対策項目は今後検討予定))
(注)上位の基準はそれ以下の基準で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係とはならない。

国内外の関連制度等との連携・整合

  • 先行する自己評価の仕組みである「SECURITY ACTION」(一つ星及び二つ星)、「JAMA・JAPIA自工会/部工会サイバーセキュリティガイドライン」や国際標準である「ISMS適合性評価制度」等とは相互補完的な制度として発展することを目指す。
  • 具体的には、現在の★3、★4の要求項目案は「JAMA・JAPIA自工会/部工会サイバーセキュリティガイドライン」の内容とも整合性を一定程度確保しており、同ガイドラインに基づく自己評価に際しての本制度での活用等、連携のあり方については、運営団体とも議論を進めていく。また、海外の類似制度についても、将来的な相互認証の可能性も念頭に、引き続き調査・意見交換を実施する。

3.今後の予定

2026年度の制度開始を目指し、実証事業等を通じた評価スキームの具体化や制度の利用促進のための施策の検討等を進めていく予定です。

関連資料

関連リンク

担当

商務情報政策局 サイバーセキュリティ課長 武尾
担当者:味木、長谷川
電話:03-3501-1511(内線 3964)
メール:bzl-cyber-madoguchi★meti.go.jp
※[★]を[@]に置き換えてください。

元の記事はこちら
UserIcon
経済産業省

コメント

ログインしてコメントを書く。
もっと見る

ランキング

News Thumbnail
1

バングラデシュ人民共和国に対する無償資金協力「コックスバザール県及びバシャンチャール島におけるミャンマーからの避難民及びホストコミュニティのための生活環境改善計画(IOM連携)」に関する書簡の署名・交換

News Thumbnail
2

タンロン工業団地工業団地視察および進出企業等との車座対話

News Thumbnail
3

【メーデー】第96回メーデー中央大会に玉木代表が参加

News Thumbnail
4

ローマ教皇フランシスコ台下の葬儀への岩屋外務大臣参列

News Thumbnail
5

【鎌倉市議選】「大石かおり候補への後押しは日本の政治を前に進める原動力に」玉木代表が応援演説

Copyright © Fast Fact since 2023.