サプライチェーンを狙うサイバー攻撃が経営リスクになる時代

企業活動そのものを停止に追い込んだり、信用低下を招いたりするおそれのあるサイバー攻撃は、もはや一部の大企業だけの問題ではなく、中小企業にとっても身近な課題として認識されつつあります。
特に、セキュリティ対策が手薄な企業を起点とした「サプライチェーン攻撃」は、企業経営そのものを揺るがす重大なリスクとして現実化しています。

こうした状況を受け、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」を2026年度に運用開始を予定しています。
本制度では、それぞれの企業が講じているセキュリティ対策を可視化し、評価することで取引先を含めたサプライチェーン全体の安全性向上を図ることを目的としています。

もはや、「自社の対策は問題ない」「最低限の対策は講じている」といった認識だけでは、取引継続や企業としての信用を維持できない時代が到来しつつあります。
今後は、どのようなセキュリティ対策を実施しているかだけでなく、それを客観的な視点で継続的に運用できているかが評価され、企業としての信頼や競争力に影響を及ぼす可能性も否定できません。

本記事では、この評価制度の概要と企業に求められる対応を整理するとともに、制度を単なる要件対応に終わらせず、実務に結びつけるための対応について解説します。

2026年度開始予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」とは？

サプライチェーンを狙ったサイバー攻撃が深刻化するなか、企業単体によるセキュリティ対策には限界が生じています。
こうした課題に対応するため、経済産業省は2026年度から「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用を開始する方針です。

本制度は、企業が実施しているセキュリティ対策を共通の指標で評価することで可視化し、取引先を含めたサプライチェーン全体の安全性向上を図るものです。

ここでは、制度が策定された背景や目的、企業にもたらす効果、そして評価について整理します。

「サプライチェーン強化に向けたセキュリティ対策評価制度」の目的と背景とは？

2026年度に開始が予定されている「サプライチェーン強化に向けたセキュリティ対策評価制度」は、サプライチェーン全体のセキュリティ水準を底上げすることを目的として設けられる新たな制度です。

これまでサプライチェーンに関わる企業は、ウイルス対策ソフトやEDRの有無など、取引先ごとに異なるセキュリティ要件への対応を求められ、個別の確認や対策に工数を取られるケースが少なくありませんでした。
しかし、企業規模や業種によって対策状況にばらつきがある中で、各社が独自に対応を進めることには限界があり、情シス部門を中心に大きな負担が生じるという課題も発生していました。

そこで本制度では、サプライチェーン全体を通じた共通の評価基準を設け、各社のセキュリティ対策状況を「見える化」することで、発注者と受注者の双方が共通認識のもとでリスクを把握できる環境づくりを行うために制定される見込みです。
属人的な判断に依存せず、サプライチェーン全体でリスクと課題を共有し、継続的な改善につなげていくことが制度の狙いです。

目指す効果

本評価制度では、サプライチェーンにおける企業のリスクレベルを明確にすることで、必要な対策の方向性を示すことが想定されています。
これにより企業側は、「どのようなリスクが潜んでいるのか」「どこまで対応すればよいか」「何から手を付けるべきか」といった判断を行いやすくなり、適切なセキュリティ対策を選択できるようになります。

あわせて、統一した基準に沿って対策を講じることで、過度な対策によるコスト増や、対策不足によるリスク放置を防げるだけでなく、評価結果を通じて取引先との認識のずれを減らすことが可能になります。
セキュリティを理由とした取引停滞や調整コストの削減につながる点も、本制度の大きな効果として期待されています。

評価制度とその基準とは？

本制度では、企業のセキュリティ対策状況を段階的に評価するモデルが採用される予定です。
具体的には、対策の成熟度に応じて「★★★ (以下★3)」や「★★★★ (以下★4)」、「★★★★★ (以下★5)」といった段階的な評価が設けられる見込みです。
各レベルで求められる対策の考え方が整理されることで、企業は自社が現在どの水準に位置しているのかを把握しやすくなると同時に、次に目指すべきレベルが明確になります。
また、発注側企業にとっても、取引先の対策状況を客観的に判断する指標として活用できる点が特徴です。
段階的な評価モデルを通じて、無理のない形でセキュリティ対策の高度化を促す仕組みを目指すとされています。

評価制度の対象範囲と評価基準の捉え方

サプライチェーン強化に向けたセキュリティ対策評価制度では、「誰を」「どこまで」評価の対象とするのか、そして「何をもって対策が十分と判断するのか」を明確に定めています。
その評価対象は、単なるシステムの有無や製品単体ではなく、企業の業務プロセスをはじめ、IT基盤全体の運用管理体制にまで及びます。

一方で、すべてが評価対象となるわけではなく、制度の趣旨に基づき対象範囲は整理されています。
本章では、評価の対象となる企業・組織・システムの範囲といった具合に、評価基準をどのような観点で捉えるべきか、さらに評価によって付与される「★」の数によって何が変わるのかを整理し、評価制度の全体像を具体的に解説します。

対象となる企業・組織／システムとは？

サプライチェーン強化に向けたセキュリティ対策評価制度の評価対象は、サプライチェーンに関わるすべての企業と、その企業が業務で利用するIT基盤となります。
対象となるIT基盤には、基幹業務システムや業務アプリケーション、オンプレミス環境の社内ネットワーク、業務に活用するクラウドサービスなどが含まれます。

サプライチェーン全体を対象範囲とすることで、発注者や受注者といった立場を問わず、一定のセキュリティ対策が求められます。
こうした考え方のもと、サプライチェーン全体のセキュリティ向上を図っていくというのが本制度の趣旨と言えるでしょう。

一方で、製造ラインなどの制御を担うOT (Operational Technology) システムや、発注元に直接提供する製品そのものは、本制度におけるIT基盤の評価対象には含まれないとされています。
これらについては、他の制度やガイドラインに基づいて対策を講じることが想定されており、本制度ではあくまで業務遂行に用いられるIT環境を中心に評価することとされています。

評価基準の捉え方

制度の肝となる評価基準は、単なる技術対策の有無にとどまらず、企業として“どのような意識を持って”セキュリティに向き合っているかを含めて多面的に判断される点に特徴があります。
この評価は、大きく分けて、ガバナンス体制やリスク管理、事業継続性といった「経営的な観点」と、技術的な対策状況を確認する「システム的な観点」の両側面から評価が行われます。

前者の経営的な観点では、経営層の関与や責任の所在、インシデント発生時の対応方針などが問われます。
それに対して、後者ではアクセス制御や脆弱 (ぜいじゃく) 性管理、攻撃の検知やそれに対応に関する体制といった実務的な対策が評価対象となります。

これらは、書類上にまとめられたマニュアルやルールの有無を確認するものではなく、実際の業務の中でセキュリティ対策が“使われているか”までを含めて評価する点が、この制度の大きな特徴と言えるでしょう。

「★」の数で何が変わる？評価レベルの違いをチェック

本評価制度では、企業のセキュリティ対策の成熟度に応じて「★3」から「★5」までの評価レベルが設定されることが想定されています。

「★3」は、企業が自己評価によって自社のセキュリティ対策状況を確認する段階に位置付けられており、基本的な対策が講じられている状態を示す予定となっています。
このレベルでは広く知られたOSやオフィスツールの脆弱 (ぜいじゃく) 性への対応をはじめ、最低限の運用体制が整っていることなどが求められます。
例えば、多くの企業で使われているパソコンやソフトウエアの「更新されていない弱点」を狙い、侵入や被害を引き起こす一般的なサイバー攻撃に対応できる水準が「★3」に相当するとされています。

「★4」以上では、自己評価に加えて第三者による評価が求められることが想定されており、より客観的な視点で対策の実効性が確認されます。
「★5」となると、継続的な改善や高度な検知・対応体制を備えたレベルとされ、サプライチェーン全体の防御力向上に大きく貢献する企業として位置付けられる見込みとなっています。

達成すべき、「経営の責任」「サプライチェーンの防御」「IT基盤の防御」とは

基準が新たに設けられる以上、気になるのは達成すべき目標となるでしょう。
本評価制度では、単なるIT部門任せの対策だけではなく、「経営の責任」と「サプライチェーンの防御」、「IT基盤の防御」という三つを組織全体でバランスよく満たすことが求められています。
セキュリティを一部門の課題として切り離すのではなく、企業活動全体として捉える姿勢が求められています。

まず「経営の責任」では、セキュリティを経営課題の一つとして位置付け、方針や体制、責任の所在を明確にすることが求められます。
インシデント発生時の意思決定や対応方針を含め、経営層が関与しているかどうかが評価のポイントとなります。

また「サプライチェーンの防御」では、自社単体ではなく、取引先や委託先を含めたリスクを意識し、連携した対策を進める姿勢が重要です。
サプライチェーン全体で一定のセキュリティ水準を維持することが、事業継続の観点からも求められています。

そして「IT基盤の防御」では、業務を支えるシステムや端末に対して、侵入を前提とした検知や対応、アクセス管理などの技術的対策を実装し、継続的に運用していくことが評価されます。

これら三つの観点を一体として捉えることが、評価制度に対応するうえでの重要なポイントとなります。

評価には自己評価と第三者評価の二つがある

サプライチェーン強化に向けたセキュリティ対策評価制度では、企業の対策状況を評価する方法として「自己評価」と「第三者評価」の2種類が存在しています。
どちらも企業のセキュリティ対策を可視化するための仕組みですが、その目的や求められる水準、評価の重みは大きく異なります。

前者の自己評価は、自社の現状を把握し、対策の出発点を確認するためのものです。
その一方で、第三者評価は、社外の専門的な視点から対策の実効性を確認する仕組みであり、取引先や外部からの信頼に直結する要素となります。

本章では、両者の違いを整理しながら、評価が企業活動にどのような影響を与えるのかを具体的に解説します。

自己評価と第三者評価の違いとは？

本制度における自己評価とは、企業が自らのセキュリティ対策状況を基準に照らして確認するプロセスです。
主に「★3」までのレベルに相当し、基本的な対策が講じられているか、最低限の運用ができているかを自社で点検する位置付けとなります。
社内チェックリストを使って、制度で求められる水準を確認していくイメージに近く、「現時点で何ができていて、何が不足しているのか」を把握するための第一歩と言えるでしょう。

一方、「★4」以上の評価を目指す場合は、第三者による評価が求められることが想定されています。
第三者評価では、外部の専門機関が対策内容や日常業務における運用状況を客観的な視点から確認します。
例えば、ルールが整備されているかだけでなく、実際の業務が定められたルールに沿って運用されているか、インシデントを想定した対応体制が機能するかといった点まで確認されるのが特徴です。

社内だけでは気付きにくい課題や改善点が明らかになるため、第三者評価は「対策の妥当性や信頼性を外部に示すための仕組み」として、より重みのある評価方法と位置付けられています。

評価が及ぼす企業への影響

本評価制度は、単純に「対策ができているか」を確認するためだけのものではありません。
特に第三者によって一定以上の評価を得ることで、取引先や発注元に対する信頼を裏付ける材料となります。

セキュリティ対策が可視化されていない企業に比べ、評価を通じて対策レベルが示されている企業のほうが、安心して取引できる相手として選ばれやすくなる可能性があります。

また、セキュリティ対策が整っていることは、トラブルを未然に防ぐだけでなく、事業継続性や組織の安定性を示す要素にもなるため、取引機会の拡大や競争力の向上にもつながるでしょう。

新たな評価制度によって企業は新たな負担が生じるという懸念を抱くかもしれません。
しかし、本評価制度は、自社の取り組みを「信頼」という形で外部に示すための手段と捉えることもできます。
評価をどのレベルまで目指すのか。
コストとのバランスだけでなく、今後の事業戦略や取引関係を見据えて判断することが求められます。

企業が準備すべきこと①「課題の可視化」

2026年度に開始が予定されている「サプライチェーン強化に向けたセキュリティ対策評価制度」は、企業にとって遠い将来の話ではなく、「待ったなし」で迫っています。
この評価制度の導入によって、従来は企業ごとの判断に委ねられてきたセキュリティ対策が、共通の基準に基づいて可視化され、その内容が評価される時代が目前に迫っています。

こうした環境変化の中で重要となるのが、まず自社の現状を正しく把握し、どこに課題があるのかを洗い出すことです。
ただし、対策を進めれば進めるほど、情シス部門の運用負担が増大するという現実的な課題も避けて通れません。

本章では、本評価制度への対応に向けて企業が最初に取り組むべき「課題の可視化」に焦点を当て、次の実装フェーズにつなげるための考え方を整理します。

現状把握と自社の診断

本評価制度への対応にあたり、まず行うべきことは、自社のセキュリティ対策状況を客観的に把握することです。
例えば、ウイルス対策やアクセス制御といった個別の施策だけでなく、運用体制や社内で定められたルールが実際に現場で機能しているかまで含めて確認する必要があります。

「どの対策ができていて、どこが不足しているのか」という現状を把握したうえで、「制度の評価基準に照らした場合、現在のレベルはどの位置にあるのか」と整理することで、これから行うべき対策の取っ掛かりが見えてきます。

逆に、この段階で現状把握を曖昧にしたまま対策を進めてしまうと、対策が過剰になりすぎたり、見当違いの施策に時間やコストを費やしてしまったりするリスクも高まります。

本評価制度への対応は、まず自社を正しく診断するところから始めましょう。
なお、評価制度で求められるとされる主な観点は、

1. IT資産の把握
2. ソフト・アプリ管理
3. ID管理・アクセス制御
4. 脆弱 (ぜいじゃく) 性対応
5. 検知・対応

といった項目に分類することができます。

以下の表では、それぞれの項目に対し、現場で起きがちな事象とその解決に向けた方針について解説しています。
自社の現状を正しく診断するための客観的な評価指標として参考にしてみてください。

サプライチェーン全体のリスクを洗い出す

本制度が重視しているのは、自社単体の対策だけではありません。
取引先や業務委託先を含めたサプライチェーン全体で、どのようなリスクが存在しているのかを把握し、業界全体で対策を行っていくことが重要とされています。

例えば、自社がいくら業界水準やそれ以上の水準を満たす対策を講じていても、委託先のPC管理やアクセス管理が不十分であれば、そこが攻撃の入り口となる可能性があります。
こうしたリスクを放置したままでは、サプライチェーン全体の安全性は確保できません。
まずは、自社がどの取引先や業務委託先とつながっているのかを整理し、どの業務やシステム、PC利用が自社の情報や業務に影響を与え得るのかを洗い出すことが重要です。
そのうえで、どこまでを自社の管理範囲として捉え、どの領域に対策が必要なのかを明確にしておくことが求められます。

★3から★4を取得するためのロードマップを策定

自己評価によって自社の対策状況を確認する「★3」レベルは、本評価制度に対応するための第一歩にあたります。
先に「評価制度の対象範囲と評価基準の捉え方」で述べたとおり、★3は基本的な対策が講じられている状態を示すものですが、評価はあくまで社内での確認にとどまります。
取引先からの信頼獲得や、より高い評価を通じて競争力を高めていくためには、第三者による客観的な確認を前提とした「★4」以上のレベルを見据えた対応が必要になります。

そうした対応を行っていくうえで重要なのは、いきなり高度な対策や新しいツールを導入するのではなく、現状の★3レベルからどの項目を強化すべきかを整理し、段階的にレベルを引き上げていくロードマップを描くこと。
例えば、運用ルールが実際の業務で機能しているか、インシデントを想定した対応体制が整っているかなど、第三者評価で確認される観点を意識しながら、対応していく項目の優先順位を付けるとよいでしょう。

あわせて、どのタイミングで第三者評価を受けるのか、評価に向けてどの体制や仕組みを整えるのかを事前に計画しておくことで、無理のない形で制度対応を進めることが可能になります。
こうしたロードマップを持たずに場当たり的な対応を進めてしまうと、情シス部門の負担が増えるだけでなく、対策が形骸化してしまうリスクも高まります。

サプライチェーン強化による企業の対策が情シスの新たな負担に

本評価制度により、これから行うべきセキュリティ対策が可視化される一方で、対策を進めるにあたり、情シス部門に求められる役割と実務は確実に増加していきます。
自社のIT資産や利用状況を把握するための棚卸しや運用状況の整理、評価基準に沿った対応状況の確認に加え、第三者評価に向けた資料準備など、従来にはなかった業務が新たに発生するためです。

特に人員が限られる情シス部門では、これらの対応が既存業務に上乗せされる形となり、セキュリティ対策の強化そのものが運用負荷の増大につながりやすい傾向があります。
その結果、システム改善やDX推進といった本来注力すべき業務が後回しになってしまうケースも少なくありません。

課題を可視化する段階では、こうした実務負荷がどこに、どれだけ発生するのかをあらかじめ整理しておくことが重要です。
そのうえで、人員体制の見直しや業務の切り分け、外部サービスの活用など、情シスの負担を抑えながら対策を進める手段を検討しておくことが、次の「具体的な実装手段」を選択する際の重要な判断材料となります。

企業が準備すべきこと②「具体的な実装手段でリスクに備える」

サプライチェーン強化に向けたセキュリティ対策評価制度に対応するためには、対策を継続的に運用していくことが不可欠です。
特に「★4」以上の評価を目指す場合、単純に対策用のシステムを導入するだけでは不十分となっており「日常的な管理や監視が行われているか」「万が一の不具合やインシデント発生時に適切に対応できる体制が整っているか」といった運用面までが問われます。

しかし、実際にはIT資産の把握が十分でなかったり、複数の対策が個別に導入されていて全体として統制が取れていなかったりと、実装フェーズでつまずく企業は少なくありません。
さらに、ランサムウエアをはじめとする高度な攻撃を想定した検知や対応体制の構築には専門的な知見と継続的な運用が求められるため、情シス部門にとって大きな負担となりがちです。

このようなことを、限られたリソースで継続運用するためには、体制と仕組みの両面から支える支援が有効です。
例えば、以下で紹介するソリューションなどが有力な選択肢となります。

IT資産・利用状況が把握／統制されている状態をつくる

本評価制度において、まず問われるのは「自社のIT資産を正しく管理できているか」という点です。
これは評価基準の中でも、「IT基盤の防御」や「経営の責任」に深く関わる重要な項目として位置付けられています。
例えば、OSが最新状態に保たれていなければ、その脆弱 (ぜいじゃく) 性を狙った攻撃の被害を受ける可能性が高まるため、いかに高度なセキュリティ対策を導入しても、その実効性を客観的に説明することは難しいでしょう。

また、IT資産管理とあわせて重要となるのが、アプリケーションに関するリスク対策です。
いくらOSやネットワークが適切に管理されていても、業務用PCで利用されるアプリケーションがポリシーに沿って適切に導入されていなければ、不正なプログラムの実行や想定外の挙動を防ぐことが難しくなります。

以下では、企業が抱えがちな課題と「サプライチェーン強化に向けたセキュリティ対策評価制度」に対応するための方向性をまとめ、実効性のある対策に活用できるソリューションをご紹介します。

課題例①：Windows アップデートの適用状況を把握しきれない

働き方が多様化しPCの台数が増える中で、社内のPC端末を常に最新の状態に保つためには、Windows アップデートの適切な運用が不可欠です。
しかし、情シス担当者が端末ごとの確認や個別のアップデート作業に追われていては、本来注力すべき業務を圧迫しかねません。
更新ルールが曖昧なままパッチ適用が放置されれば、脆弱 (ぜいじゃく) 性を突いた攻撃リスクが高まり、評価制度においても管理体制の不備として捉えられる可能性があります。

• 対応の方向性：ポリシーに沿って常に業務用PCのOSを最新に保 (たも) てるようにする
  本評価制度では、業務で使用するPCのOSを常に最新の状態に維持し、その状況を把握・管理できていることが求められます。
  情シス担当者の手作業やユーザーの個別対応に頼るのではなく、一括アップデートが可能な仕組みを導入することで、運用負荷を大幅に軽減しながら、制度が求める「継続的な脆弱 (ぜいじゃく) 性対策」に対応することが可能になります。
• 具体的な対応ソリューション例：Flex Work Place Unifier Cast
  横河レンタ・リースが提供する「Unifier Cast」は、Windows アップデートの管理を支援するソリューションです。
  端末ごとのOSバージョンをはじめ、Feature Update や Quality Update の適用状況、アップデートに関するエラーの発生状況などを、ダッシュボード上で一元的に管理することが可能です。
  さらに、分割配信機能とCast配信機能を組み合わせることで、ネットワーク負荷を抑えながら大容量ファイルを効率的に配信でき、業務への影響を最小限に抑えた運用を実現します。
  情シス部門の負担軽減に寄与するだけでなく、第三者評価においても統制された運用体制を説明しやすい点が特長です。

課題例②：業務で使われるアプリのインストール管理ができていない

業務が多様化することで必要とされるアプリも多岐にわたり、その管理は複雑さを増しています。
セキュリティ統制のためにPC端末の管理者権限を制限すると、アプリのインストールや更新のたびに情シス部門への依頼が集中し、負担の増大につながります。
しかし、その一方で、従業員の利便性を優先して管理者権限を安易に与えてしまえば、管理者が許可していないアプリの導入や、脆弱 (ぜいじゃく) 性のあるソフトウエアの利用を招くリスクが高まります。
こうした状態は、評価制度においても「IT基盤の防御」や「管理体制」が十分でないと評価基準上のリスク要因として捉えられる可能性があります。

• 対応の方向性：管理者権限を与えず、インストール可能なアプリを制限する
  本評価制度では、適切なアクセス制御とソフトウエア管理も重視されます。
  ユーザーに過度な権限を与えず、それでいて情シスの手を煩わせることなく、管理者が許可したアプリケーションのみを安全にインストールできる環境を整えることが、運用負荷の軽減とリスク抑制の両立につながります。
• 具体的な対応ソリューション例：Flex Work Place AppSelf
  横河レンタ・リースが提供する「AppSelf」は、管理者権限を付与することなく、利用者自身の操作で管理者が許可したアプリケーションをインストールできるアプリケーション配布管理ツールです。
  あらかじめ許可したアプリをパッケージ化し、一括配信できるため、情シス部門は個別のインストール対応から解放されます。
  権限管理の適正化とソフトウエア管理の統制を、高いレベルで両立できる点が特長です。

侵入を前提に、異常に気づき、被害を最小化できる状態をつくる

近年のサイバー攻撃は高度かつ巧妙化しており、「侵入を完全に防ぐ」ことだけを前提とした対策には限界があります。
そのためサプライチェーン強化に向けたセキュリティ対策評価制度、特に「★4」以上の評価では、侵入を前提に、どれだけ早く異常を検知し、被害を最小限に抑えられるかが重要な評価ポイントとされることが想定されています。

こちらも、企業が抱える課題と解決に向けた対応の方向性、そしてソリューションをご紹介します。

課題例③：侵入や異常に気づくまでに時間がかかる

多くの企業では、ウイルス対策ソフトなどの基本的な対策は導入しているものの、端末内部で起きている不審な挙動や攻撃の兆候をリアルタイムに把握できていないケースが少なくありません。
その結果、侵入に気づくまでに時間がかかり、被害が拡大してから発覚する、あるいは原因や影響範囲の特定に手間取るといった課題が生じがちです。

• 対応の方向性：侵入を前提とした検知・対応体制を整える
  評価制度では、「攻撃を防げるか」だけでなく、「侵入後にどのような対応が取れる体制が整っているか」までが問われます。
  端末上の挙動を常時監視し、異常を早期に検知できる仕組みと、検知後に迅速な判断・対応が行える運用体制をあわせて整えることが、評価基準への対応において重要なポイントとなります。
• 具体的な対応ソリューション例：Cybereason Core Suite｜SOC Plus
  横河レンタ・リースが提供する「Cybereason Core Suite｜SOC Plus」は、端末側で不審な挙動を検知するEDRと、専門人材による24時間365日の監視・対応 (SOC) を組み合わせたソリューションです。
  単なるアラート通知にとどまらず、原因分析や対応判断、復旧までを含めた一連の対応プロセスを支援できる点が特長です。
  
  EDRとSOCを組み合わせることで、攻撃の兆候を早期に把握し、被害拡大を防ぐ体制を構築していることを客観的に示しやすくなり、第三者評価においても「実効性のある対策」として評価されやすくなります。
  侵入を前提とした検知・対応体制の構築は、評価制度への対応にとどまらず、企業の事業継続性や信頼性を高める重要な取り組みと言えるでしょう。

まとめ：新たな評価制度は、義務ではなく“選ばれる”ためのチャンスに

2026年度の開始が予定されている「サプライチェーン強化に向けたセキュリティ対策評価制度」は、企業に対して新たな負担を課すことを目的とした制度ではありません。
サイバー攻撃の脅威が高度化するなか、個々の企業任せの対策には限界が生じており、サプライチェーン全体で一定のセキュリティの水準確保が背景にあります。
経済産業省では、各業界へのヒアリングを通じて現場の声に耳を傾けながら、対策推進のための支援策を検討しています。
加えて、下請法や価格転嫁といった制度面との整合を図ることで、中小企業がコスト負担だけを強いられることなく適切な対策を継続できる環境づくりをめざしています。

これからの時代、サイバーセキュリティは「自社を守るための対策」だけでなく、サプライチェーン全体で共有すべき経営課題として捉えられるでしょう。
本評価基準で求められるセキュリティ水準を、最低限満たすべき“義務”として捉えるのではなく、強固な体制を整えることで、取引先から信頼され、選ばれ続けるための“競争力”と捉える視点が重要です。

評価制度への対応は、企業の取り組み姿勢や実行力を可視化する絶好の機会。
この変化を前向きに捉え、自社のセキュリティ体制を見直し、強化していくことが、これからのサプライチェーンの中で存在感を発揮し続けるための第一歩となるでしょう。

関連サービス

こんな記事も読まれています