【セミナーレポート】サプライチェーンセキュリティ評価制度への処方箋 ～2026年度制度開始に向けて今から備えるべきこと～

サイバーセキュリティラボでは、中堅・中小企業向けに、サイバーセキュリティに関する情報発信の場としてセミナーを不定期開催しています。2025年7月17日（木）には「サプライチェーンセキュリティ評価制度」をテーマにセミナーを実施いたしました。

第一部では、ジョーシス株式会社のジョーシスサイバー地経学研究所（JCGR）所長兼主任研究員である川端氏より、地政学の観点からサイバーセキュリティの動向を解説いただきました。第二部では、サイバーセキュリティラボ エヴァンジェリストの髙橋にて、評価制度への具体的な対応方法について紹介しました。

本記事では、セミナーの内容を一部抜粋してお届けします。アーカイブ配信も行っておりますので、あわせてご確認ください。

^{※本記事の内容は、セミナー開催時点の情報です。}

SaaS（Software as a Service）の利用は近年爆発的に増加しており、2015年には1社あたり平均8個だったSaaS利用数が、2022年には130個に達しました。これはコロナ禍を背景としたリモートワークの普及が影響しています。2023年には112個と若干減少傾向にありますが、SaaSが利用されなくなるということではなく、使用しているアプリの「精査フェーズ」に入ったことを示唆しています。つまり、導入してみたものの、あまり利用しなかったアプリや効果の乏しいアプリの存在に気が付き、契約を見直している流れがあります。

SaaSの普及は利便性を高める一方で、新たなセキュリティリスクを生み出しています。特にSaaSの管理漏れは、要人情報、技術情報、重要産業の経営情報といった機密データの漏えいにつながる可能性があります。しかしながら企業におけるSaaS管理の現状は、全社利用、部門利用、そして個人利用による「シャドーIT」が混在している複雑な状況です。その可視化と利用実態の棚卸しが課題となっています。

SaaS管理は企業IT部門の日常業務ではありますが、実はサプライチェーンの視点から国際的に重大な問題と認識されています。つまり、自社だけでなく、子会社や関連会社、取引先などが利用するSaaSの管理不備がサプライチェーン全体のサイバーリスクの原因になっているというものです。世界の政官財界の有力者が参加する世界経済フォーラムは「Global Cybersecurity Outlook 2024」の報告で、調査対象組織の41%が取引先に起因する重大なインシデントを経験し、54%が自社サプライチェーンのサイバー脆弱性について十分な理解ができていないとしています。こういった背景には、SaaS等のクラウド利用の普及によるリスクの可視性が低下していることが指摘されています。そして、同じレポートの2025年版では、地政学的な緊張がサプライチェーンとSaaSが抱えるリスクを一段と高めていると報告されています。日常的なIT業務は、地政学リスクとも隣り合わせなのです。

地政学リスクはサイバー空間の発展も影響しています。そもそも、インターネット技術自体が軍事技術に起源があります。例えば、2010年には米国防総省がサイバースペースを陸海空宇宙に次ぐ「第五の作戦空間」と位置付けるなど、その戦略的重要性が高まっています。米中対立に代表されるテクノロジーウォーも、この動きを加速させています。クラウドサービスの登場やスマートフォンの普及により、サイバー空間は日常生活に深く浸透ており、私たちの仕事はサイバー空間における地政学リスクと直結しています。

このような国際情勢の変化を受け、近年、特にここ数年は日本政府もサイバーセキュリティ対策を強化しています。不正アクセス禁止法やサイバーセキュリティ基本法の制定、内閣サイバーセキュリティセンター（NISC）の改組、そして2022年の経済安全保障推進法の制定などがその例です。特に日本では、経済安全保障とサイバー空間の重要性が融合しており、世界的に見ても短期間で急速にルール形成が進んでいます。

このような背景は、経済産業省が推進する「サプライチェーン強化に向けたセキュリティ評価制度」を構築する動きにも影響を与えています。同省は「中間取りまとめ」を発表し、制度の概要や方向性を明らかにしました。この制度は、統一的なセキュリティスタンダードを提示し、中小企業のセキュリティ対策に関する負担を軽減させ、企業のセキュリティ体制の信頼性を示すことで企業価値を向上させることを目的としています。そうした体制構築を急ぐ背景の一つには日本を取り巻く地政学リスクの高まりも影響しているとみられます。

この制度は法的な拘束力まではもたないと予想されますが、制度が浸透していけば実務上、取引において自社のセキュリティ水準を証明するものとして重要視されていく可能性があります。

評価は5段階で行われ、レベル3以上が「全てのサプライチェーン企業が実装すべき最低限の対策」とされています。レベル3では、ガバナンスの整備、リスクの特定、攻撃等の防御、攻撃等の検知、インシデントの対応という5つの大項目を含む25項目を達成することが求められます。レベル1から2は基本的なセキュリティ対応となり、3以上は目指すべきものと言われています。3は自己評価とされていますが、情報処理安全確保支援士（登録セキスペ）による判断が求められる見込みです。レベル4以上は、要求水準が高まり、大企業やインフラ系企業などが想定され、監査法人等による外部評価が必要になります。経産省は2026年度中の実施を目指し、現在、レベル3と4について、協力企業を募り実証実験を行っています。

日本政府は今後もサイバーセキュリティ対策は強化していくことが予想されます。その背景には地政学的な緊張が当面続くことが見込まれることや、国内的な視点でも日本が競争力を持つ自動車や半導体関連素材といった重要産業を守ることがあげられます。

今後、SaaS管理も含むサイバーセキュリティやITガバナンスを情報システム部門だけに任せる、現場に任せておけばいい、という考え方では通用しなくなります。トップを含む経営陣が経営上の重要課題と認識し、経営企画部や主要な事業部がIT部門と連携しつつ、総合的な対処をしていく必要があるでしょう。

サイバーセキュリティラボを運営する株式会社USEN ICT Solutionsでは、評価制度への対応に向けたサポートを行っております。

サイバーセキュリティラボにて、認証取得に向けた記事による情報提供などを行っております。今後も、記事やセミナーによる情報提供を行っていきますのでご確認ください。

USEN ICT Solutionsは法人向けICTソリューション「USEN GATE 02」を提供し、お客様の課題解決をサポートいたします。

SaaS管理を行う「Josys」をはじめ、アンチウイルス、EDR、バックアップなどの各種セキュリティ商材、ガイドライン対応をサポートする「ガイドライン対応サポートアカデミー」まで幅広いラインアップをご用意しておりますので、お困りのことがございましたら、お気軽にお問合せください。