サプライチェーンセキュリティとは？　対策と経産省の評価制度を解説

侵入の踏み台になるリスク

サプライチェーン攻撃の代表的なリスクは、攻撃を受けたシステムが侵入の踏み台になり、そこから他社へ被害が波及する可能性があることです。

攻撃を受けた企業が、サプライチェーンの取引先から権限の広いアカウントを付与されていたり、恒久的な接続を許可されていたりした場合、攻撃者は正常な操作を装って取引先のシステムに侵入できることになります。直接、標的企業を狙うのではなく、まずサプライチェーンでつながっている取引先に攻撃する流れは、近年のセキュリティインシデントの報告でも指摘されているパターンです。そのため、サプライチェーンへ許可しているアクセス権限の棚卸と付与する権限の最小化、サプライチェーン全体での多要素認証の導入といった対策が必要になります。

取引先の端末がウイルスに感染したまま自社システムへ接続するシナリオを想定すると、あらゆる接続を信頼せず、接続のたびに利用者や端末を確認してから許可するゼロトラストの考え方が有効になる場面もあります。

併せて読みたい

• ゼロトラストネットワークとは？　意味やメリットをわかりやすく解説

情報漏洩のリスク

取引先側への不正アクセスが、自社の機密情報や個人情報の流出につながることも、サプライチェーン攻撃のリスクの1つです。経営判断に関する情報や技術情報、顧客情報、契約情報などが持ち出されると、その後の経営に重大な影響を及ぼす可能性があります。たとえ取引先への攻撃が端緒になった情報漏洩でも、自社の信用に影響しかねません。

また、もし自社が攻撃を受けて取引先の情報漏洩につながったら、場合によっては取引先やその顧客への説明責任が必要になります。設定の不備やセキュリティ対策の不十分さによって攻撃を招いた場合は、取引が停止されるような事態にもなりかねません。

併せて読みたい

• 企業の情報漏洩対策21選！　個人情報を守り流出を防ぐ方法

業務停止のリスク

攻撃によって企業の業務用のシステムが止まると、サプライチェーン内の他の企業の調達業務の停止につながり、製品の納期遅延やサービス停止といった問題につながるリスクもあります。

例えば、サプライチェーンの中の1つの企業で、業務用のデータが暗号化されるランサムウェアの被害が発生して業務が停止した場合、その企業から部品を調達していた企業は製造計画を見直さなければなりません。サプライチェーンは全体が相互に関連し合って安定した製品やサービスの供給を実現しているため、サプライチェーンの一部が止まるだけで、工程全体のボトルネックになり得ます。

特に、単一のサプライヤーに依存している工程がある場合は、供給先の業務停止があれば、自社の業務も一時的に停止せざるを得ないでしょう。サプライチェーンの一部の企業でのセキュリティ被害が、サプライチェーン全体の業務継続の可否に発展しかねないことを認識しておく必要があります。

併せて読みたい

• ランサムウェアで被害が発生した事例は？　必要な対策を解説

取引先の把握

サプライチェーンのセキュリティを高めるには、どの取引先がどのような業務に関わり、どのような情報に触れているかを一覧化することが第一歩です。重要度が高い取引では、再委託の有無や取引先でのデータの出入りの経路まで掘り下げて確認しましょう。

取引先の業務や情報への関わり方を整理しなければ、取引先との対策の検討を進めることはできません。取引先と取り交わす契約の内容や、アクセスを許可すべき情報の範囲の検討も難しくなります。

また、業務範囲や情報の経路の全体像が曖昧なままでは、サプライチェーン内のどこかの企業が攻撃された場合に、事態の把握や整理が遅れ、対応が後手に回りやすくなります。

契約条件の整備

サプライチェーンのセキュリティレベル向上のために、取引先との間でセキュリティ要件を定めた契約条件を整備することも重要です。取引先に求めるセキュリティ対策の条件を整理して、契約書や覚書に明文化しておきましょう。

また、契約書や覚書には、セキュリティインシデントが発生した場合の報告義務や連絡手順などを具体的に記載すると、不測の事態でも迅速な対応が可能になります。加えて、場合によっては、自社によるセキュリティ対策状況の監査の権限や再委託を認める場合の条件を盛り込むことも重要です。

口頭や簡単な資料による説明だけに頼ると、実際にセキュリティ対策を導入・運用してもらう際に解釈の相違が生じるかもしれません。要求したい対策やセキュリティ水準の目標を具体的に指定した上で、必ず契約書などの文書を取り交わしておくことが必要です。

対象になる領域

SCS評価制度では、企業のIT基盤となるパソコン、サーバー、クラウドサービスのほか、外部ネットワークとの境界となるファイアウォール、ルーター、VPN装置などが評価対象に含まれるものとして整理されています。言い換えれば、情報が出入りする領域と、外部との接点となる領域が対象です。

外部との接点での対策だけでなく、社内でのIT基盤のセキュリティ対策を充実させることも必要になるため、担当者は接点と社内のIT資産の両方のセキュリティ対策を把握しながら、SCS評価制度への対応を進めなければなりません。

社内のIT基盤でサイバー攻撃への耐性を高めた上で、外部との接点でのセキュリティも強化することで、サプライチェーン全体のセキュリティレベルを向上できるという考え方が前提とされています。

対象外となる領域

SCS評価制度では、工場などの制御システムや、自社が開発・提供する製品そのものは、評価対象に含まれません。事業に関連するシステムのすべてが評価対象となるわけではない点に、注意が必要です。

対象外だから安全という意味ではなく、現場で動く制御システムや提供する製品の安全性は別の枠組みで管理する必要があります。

星1・星2の自己宣言

星1と星2は、すでに実施されている情報処理推進機構（IPA）の「SECURITY ACTION（セキュリティアクション）」の自己宣言に基づく制度です。自社で最低限の対策状況を整備することを宣言し、取り組みの可視化を始める段階と捉えるとわかりやすいでしょう。星1と星2の自己宣言の内容は、それぞれ下記の通りです。

星1と星2の自己宣言の内容

• 星1：「中小企業の情報セキュリティ対策ガイドライン」に記載されている「情報セキュリティ6か条」に取り組むことを宣言する
• 星2：「中小企業の情報セキュリティ対策ガイドライン」の付録3「5分でできる！情報セキュリティ自社診断」で自社の状況を把握した上で、付録2「情報セキュリティ基本方針（サンプル）」を定め、外部に公開する

※出典：情報処理推進機構「SECURITY ACTIONとは？」

第三者による厳格な評価ではなく、まずセキュリティ対策の土台となる基礎知識を確認するための制度となっています。星1・星2は、次の星3以上の段階につなげるための出発点として捉えるといいでしょう。

星3の専門家確認付き自己評価～星5の第三者評価

星3、星4、星5は新しいSCS評価制度で設けられた枠組みで、第三者による確認や評価が組み込まれる点が特徴です。星が増えるほど、独立した視点からのチェックが強まる制度となっています。

ただし星5については、2026年4月時点で公表されている制度案の段階では内容が検討中とされていて、今後の動向を注視しなければなりません。一方、星3と星4は制度の概要が固まりつつあり、要求される対策のレベルや確認・評価の仕組み、更新期間がそれぞれで異なることが示されています。

なお、第三者による確認・評価を受けるためには、必要書類の準備などに一定の手間もかかります。社内体制を整備して、確認・評価を受ける際の手順や書類の保管場所を決め、繰り返し行われる確認・評価に効率的に対応できるようにしましょう。

星3と星4の違い

星3と星4では、求められるセキュリティ対策のレベルが異なり、星4のほうがより高い水準を要求しています。評価の仕組みも、星3では専門家の確認を前提とした自己評価が想定されている一方で、星4では第三者機関による評価が必要になり、より強い第三者の関与が必要です。

また、星を獲得した後の有効期間も同一ではなく、星3では1年間ですが、星4では3年間とされています。ただし、星4でも毎年の自己評価の実施と、第三者機関への提出を要求する制度が想定されています。

なお、星3・星4の制度への対応については、中小企業向け支援策として「サイバーセキュリティお助け隊サービス」（新類型）の創設が予定されているため、自社での対応が難しそうな場合は活用を検討しましょう。