「セキュリティ対策を強化したいが、どのレベルまで対応すべきかわからない」。このような悩みを持つ企業は少なくありません。近年では、取引先や委託先を経由して攻撃されるサプライチェーン型のサイバー攻撃が急増しており、単独の対策では限界があることが明らかになりつつあります。
とくにサプライチェーン全体のセキュリティ状況が可視化できないことが、リスク評価や調達判断の大きな障壁となっています。このような背景から、企業同士が共通の基準でセキュリティ対策レベルを評価・確認できる仕組みの整備が求められてきました。
そこで注目されているのが「セキュリティ対策評価制度」です。本記事ではこの制度の概要から評価構造、企業にとっての導入メリットまでを整理し、初めて制度に触れる担当者でも理解しやすい形で解説します。
目次
セキュリティ対策評価制度とは
セキュリティ対策評価制度とは、経済産業省が中心となり整備を進める、企業の情報セキュリティ体制を★1〜★5の段階で可視化する仕組みです。特に委託先や取引先を含む「サプライチェーン全体の安全性」を高めるために導入が検討されています。
★1・★2は既存のSECURITY ACTION(自己宣言)と連携し、中小企業でも取り組みやすい構造です。★3以上では自己評価や第三者評価を通じて、一定の信頼性を伴った対策水準の確認が行われます。
評価結果は調達・発注条件、委託契約時の要求項目などに活用されることが想定されており、今後は「共通のものさし」として企業間の取引で標準化される見込みです。
セキュリティ対策評価制度が導入された背景
この制度は、「個社ごとに異なる評価・チェックリストでは限界がある」という課題意識のもと、次のような背景から整備が進められています。
- 委託先・仕入先などを足がかりとしたサプライチェーン攻撃の急増
- 企業ごとにバラバラな評価手法で、客観的な比較が困難だった
- 中小企業が「何をどこまでやればよいか」が不明確だった
- 海外との信頼競争において、日本企業の共通指標が不足していた
これらの課題に対し、評価制度は「企業間で統一された視点で、対策の成熟度を把握・提示できる仕組み」として整備されています。調達・委託時の判断材料として活用されるだけでなく、社内の改善活動や教育にも役立てることができます。
出典:経済産業省
評価制度の全体像と仕組み
セキュリティ対策評価制度では、企業やその取引先の情報セキュリティ対策について、★1〜★5の段階で成熟度を可視化します。特に★3以上は、企業間取引における信頼性の指標として活用されることが想定されています。
評価では、単に技術対策の有無だけでなく、「方針策定・委託先管理・技術的対応」の3つの観点から体制の整備状況が確認されます。以下にその内訳を示します。
経営層の関与や方針整備(ガバナンス)
この観点では、情報セキュリティが経営課題として捉えられているかが評価されます。具体的には、経営層が対策に関与しているか、セキュリティ方針の策定やリスクアセスメントが行われているか、社内規程の整備・運用が実施されているかがチェックされます。
たとえば、情報セキュリティ委員会の設置や、定期的な経営レビュー、PDCAによる管理体制の維持が挙げられます。
取引先との関係管理(サプライチェーン防御)
委託先や仕入先といった外部パートナーに対し、どのようなセキュリティ要求をしているかが問われます。契約上でのセキュリティ条項の明文化、共有情報の管理、アクセス権限の制御など、サプライチェーン全体の管理体制が評価対象です。
また、委託先のリスクを把握し、定期的に見直す体制(チェックリスト・監査・再評価など)も重要なポイントとなります。
システムやネットワークの守り(IT基盤防御)
IT環境における技術的な防御策がどこまで整っているかを評価します。たとえば以下のような対策項目が該当します。
- マルウェア対策やウイルス検知ソフトの導入・管理
- OSやソフトウェアの脆弱性管理(パッチ適用)
- アクセス権限の設定や多要素認証(MFA)の導入
- 定期的なバックアップの取得と復元体制
- ログの監視・記録・保存体制
これらの評価項目は、NIST CSF(サイバーセキュリティフレームワーク)の「識別・防御・検知・対応・復旧」という構造に準拠して設計されており、国内外のガイドラインとも整合性が取られています。
出典:経済産業省
評価レベル(★1〜★5)の構造と考え方
セキュリティ対策評価制度では、企業の対策状況に応じて★1〜★5の5段階で評価されます。下位の★1・★2は、IPAが提供する「SECURITY ACTION」による自己宣言をベースとした取り組みであり、主に中小企業向けの入口レベルです。
★3以上は、取引判断や調達要件として活用されることを前提に設計されており、客観的な確認や第三者評価が求められます。以下に各評価ランクの位置づけと評価方法を整理します。
| ★ランク | 位置づけ | 主な評価方法 |
|---|---|---|
| ★1 | SECURITY ACTION一つ星:もっとも基本的な取り組み | 自己宣言(セキュリティ5か条) |
| ★2 | SECURITY ACTION二つ星:方針の策定と見える化 | 自己宣言(基本方針の策定・公開) |
| ★3 | サプライチェーン企業全体が“最低限実装”すべき水準 | 専門家確認付きの自己評価 |
| ★4 | 高度情報を扱う企業が標準で目指す水準 | 第三者評価機関による適合性評価 |
| ★5 | 高度・未知の攻撃にも対応した最先端の水準 | 第三者評価(詳細は今後策定) |
★3と★4の違いと更新の考え方
★3と★4は、制度上の「信頼性の分かれ目」として非常に重要なポジションに位置付けられています。それぞれの主な違いを以下に整理します。
| 評価ランク | 評価方法 | 有効期間(目安) |
|---|---|---|
| ★3 | 自己評価+専門家による確認・助言 | 1年程度 |
| ★4 | 認定評価機関による第三者評価(書類+ヒアリング) | 2〜3年 |
★3では、自社によるセルフチェックをベースにしつつ、外部の専門家による助言・確認を通じて一定の客観性を担保します。一方、★4以上では、独立した第三者機関が正式な審査を行うため、より高い信頼性と対外的な証明力が期待されます。
いずれの評価レベルでも、「一度取得すれば終わり」ではなく、継続的な体制維持と改善が求められます。有効期間の終了が近づく前に、再評価の準備として以下のような見直しが必要です。
- セキュリティ教育・訓練の実施記録
- インシデント対応手順の見直しと訓練状況
- 外部委託先との契約内容(セキュリティ条項)の更新
- 評価時に提出した文書類のアップデート
このように、本制度は“形式的な認証”ではなく、企業のセキュリティ体制を実質的に継続改善していくためのフレームワークとして運用されることが前提となっています。
★3評価取得に向けた準備ポイント
★3は、サプライチェーン上で“最低限実装が求められるレベル”とされており、中小企業を含む多くの企業が現実的に目指す基準です。準備としては、次のような基本的対策を押さえておくことが重要です。
- セキュリティ責任者の明確化: 担当者の任命と体制づくり
- 情報資産の可視化: 端末・クラウド・ソフトの棚卸し
- ルール整備: パスワード管理やアクセス制限の設定
- バックアップと更新管理: データ復旧・更新状況の把握
これらは評価取得のためだけでなく、実効性のあるセキュリティ対策の基本としても重要な取り組みです。
評価の流れ(チェックシートと第三者確認)
★3評価では、自己評価に加えて、専門家の確認を受けるプロセスが求められます。評価機関が提示するチェックシートを使い、対策状況を整理しながら証跡資料を整備する形になります。
取得の流れや必要な書類など、より実務的な手順や評価チェックリストの詳細については、以下の記事で詳しく解説しています。
他のセキュリティ認証・制度との違い
セキュリティ対策評価制度は、取引先との関係性や業務の重要度に応じて「どの程度の対策レベルが必要か」を共通指標で可視化することを目的としています。この点で、ISMSやSECURITY ACTIONなどの既存制度とは目的や使われ方が異なります。
主な制度との比較(全体像)
以下の表では、主要なセキュリティ制度・認証と「セキュリティ対策評価制度」との違いを比較しています。
| 制度名 | 対象範囲 | 主な目的・使いどころ | 評価主体 |
|---|---|---|---|
| セキュリティ対策評価制度 | 企業の対策レベル(★1〜★5) | 取引先間でのセキュリティ水準の可視化と比較 | 自己+第三者評価 |
| SECURITY ACTION | 中小企業の基本的取組 | 「まず一歩」の自己宣言レベル | 自己評価(宣言のみ) |
| ISMS(ISO/IEC 27001) | 組織の情報マネジメント全体 | 国際規格に基づくマネジメント体制の構築と認証 | 第三者認証機関 |
| CC認証 / ISMAP | 製品や政府向けサービス | 製品単位の機能評価 / 政府調達用クラウドの信頼性評価 | 専門評価機関 |
評価制度「ならでは」の特徴
セキュリティ対策評価制度には、他制度にはない以下のような特徴があります。
- 取引前提の制度設計: 取引内容に応じて「★3で十分」「★4以上が必要」とレベルを設定できる構造。
- 星(★)による成熟度表示: 認証の有無ではなく、対策の「深さ・運用レベル」を段階評価。
- 他制度との接続性: SECURITY ACTIONやISMSなど、既存制度と補完的に活用可能。
ISMS(ISO27001)との違い
ISMSは情報セキュリティマネジメント体制全体を国際基準に基づいて構築・運用することを求める制度です。一方、セキュリティ対策評価制度はより実務的・技術的観点から、「今の取引に対して十分な対策レベルかどうか」を段階的に評価します。
SECURITY ACTIONとの違い
SECURITY ACTIONは中小企業が「まず一歩」として取り組む自己宣言制度であり、一つ星・二つ星というシンプルな構造です。対して、セキュリティ対策評価制度はその上位レイヤーとして位置付けられ、★3以上は信頼性のある対外指標として活用されます。
CC認証・ISMAPとの違い
CC認証やISMAPは、製品やクラウドサービスなどの“モノ”に対しての評価制度です。これに対して、セキュリティ対策評価制度は“企業全体の運用体制”を対象にしており、企業としてどの程度セキュリティ対策が成熟しているかを示すための枠組みです。
まとめ
セキュリティ対策評価制度は、企業のセキュリティ体制を客観的に可視化し、取引先との信頼関係を築くための仕組みです。評価は取得して終わりではなく、体制の継続運用と改善が求められます。
- 更新や改善が前提: 一度の取得で終わらず、定期的な見直しが必要です。
- 体制全体が対象: 技術対策に加え、方針・教育・契約など運用面も評価されます。
- 中小企業も対象に: 発注側の要請で、取引条件として求められるケースが増えています。
まずは自社に求められる対策レベルを知ることが第一歩です。制度への対応に不安がある場合は、専門家への相談も視野に入れて検討しましょう。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
