ブログ
- 2026/01/26
経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」で求められるファイル保護とは?
経産省から公表された「サプライチェーン強化に向けたセキュリティ対策評価制度」のポイントを解説します。
こんにちは。「FinalCode」製品担当です。
近年、サイバー攻撃は特定の企業だけでなく、サプライチェーン全体を狙う形へと高度化しています。
こうした背景を受け、経済産業省では「サプライチェーン強化に向けたセキュリティ対策評価制度」の検討を進めており、2025年12月26日には 「制度構築方針(案)」 が公表されました。
本記事では「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」のポイントを解説し、要求事項に対し「FinalCode」で対応できる内容についても紹介いたします。
1. 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」の目的と検討状況
本制度は、サプライチェーン全体のセキュリティ対策を可視化し、経済・社会全体のサイバーレジリエンスの強化を目的に検討されています。
本制度を活用することで発注側企業が取引先のセキュリティ対策状況を客観的に把握できるようにすると同時に、受注側企業が「どこまで対策を行えばよいのか」を理解しやすくなります。
個々の企業が独自に要求するのではなく、共通の評価基準を用いることで、過度な要求や認識のズレを防ぐことも狙いとされています。
本制度は2025年4月に「中間取りまとめ」が公表され、2025年12月26日に「制度構築方針案」が公表されました。
2026年1月24日までの期間で意見募集がされており、2026年度末頃の制度開始が目指されています。
2. 「★3・★4要求事項案及び評価基準案」について
本制度では、企業のセキュリティ対策水準を段階的に評価する仕組みが採用されています。評価は★3~★5の三段階で構成されており、基礎的な対策を求めるレベルから、より高度なリスク対応を求めるレベルへと段階的に引き上げていく考え方が取られています。2026年1月現在では★3・★4の制度化が具体的に進んでいます。
「★3」では全ての企業が最低限実施すべき対策水準として位置づけられており、サイバーセキュリティに関する基本的な体制整備やルールの策定、最低限の技術的対策が求められます。この段階は、専門家の確認も合わせ、自己評価での評価となります。
「★4」は、より標準的なセキュリティ対策として目指すべきものとなり、組織としてのガバナンスやリスク管理の仕組みが整備され、インシデント発生時の検知や対応、復旧までを含めた体制が構築されていることが想定されています。この段階は第三者による評価が必要です。
「★4」を取得していれば「★3」の取得は不要です。
3. 安全なファイル管理に関する評価基準
評価項目は、「ガバナンス強化」と「システム導入」による必要性が記載されています。
システムによる対策が求められる領域としてはWebセキュリティやメールセキュリティ、ID管理等多岐に渡りますが、その中で「ファイル管理」に関する項目があります。
■ファイル管理に関する評価基準 ※一部抜粋
| 評価基準No | 求められる段階 | 評価基準 |
|---|---|---|
| 1-2-2-2 | ★4 | 入手した情報及びログの相関分析により、サイバー攻撃の予兆及びインシデントの発生の検知を可能とし、インシデントの防止及びインシデントが発生した場合の対応が導き出せる体制を整備すること。 |
| 2-1-5-1 | ★4 | 自社の機密情報を提供・共有する子会社又は取引先から、契約終了時に機密情報及びアクセス権が回収又は破棄されていることについて確認する手順(例:回収物一覧のチェックシートの作成)を整備及び運用すること。 |
| 3-1-4-5 | ★4 | 退職時及び任期満了時には機密情報及び情報機器を回収すること。 |
| 4-3-1-1 | ★4 | 社外に持ち出すパソコン及び記憶媒体の機密情報を暗号化するルールを定め、役員、従業員、派遣社員及び受入出向者を対象に周知すること。 |
| 4-3-3-1 | ★4 | 社外とファイル共有する場合は、信頼できる相手とのみ共有すること。 |
これらの項目について、ファイル保護・遠隔削除ソリューション「FinalCode」による対応が可能です。
「FinalCode」ではファイルを暗号化し、情報のアクセスログをリアルタイムで確認できます。また、退職時等にはアクセス権限をはく奪し、ファイル自体を遠隔削除することも可能です。
評価基準の「★4」で求められる安全なファイル管理を実現することができます。
「サプライチェーン強化に向けたセキュリティ対策評価制度」は、単なる認証制度ではなく、企業間の信頼関係を支える共通基盤として位置づけられています。自社のセキュリティ対策を客観的に見直し、取引先と共通の言語でリスクを議論するための枠組みとして、今後その重要性はさらに高まっていくと考えられています。
制度の本格運用に向けて、企業には早い段階から自社の体制や対策状況を整理し、対策を行うことが求められます。この機会にぜひ、自社のファイルセキュリティの見直しを実施いただけますと幸いです。
