【2026年度開始】
セキュリティ対策評価制度とは？
評価基準から企業への影響まで解説

更新日：2026-03-12

セキュリティ

【2026年度開始】セキュリティ対策評価制度とは？評価基準から企業への影響まで解説

2026年度開始「セキュリティ対策評価制度」とは？
セキュリティ対策評価制度における評価基準と対策
セキュリティ対策評価制度が定める評価プロセス
制度導入による企業への影響
まとめ

近年のサプライチェーン攻撃の巧妙化を受け、経済産業省などは「サプライチェーン強化に向けたセキュリティ対策評価制度」に関する検討を進めています。2026年度末からの開始が予定される同制度は、今後は受注条件や取引先選定の新たな基準となることが予想されます。
本記事では、制度の背景から具体的な評価基準、企業が今から準備すべき対策までを分かりやすく解説します。なお、本コラムは、2026年3月上旬の情報をもとに記載しています。

2026年度開始「セキュリティ対策評価制度」とは？

経済産業省と内閣官房国家サイバー統括室は、2026年度末頃の開始を目標に「サプライチェーン強化に向けたセキュリティ対策評価制度」の制度運営基盤の整備や制度の導入促進などを進めています。同制度は、サプライチェーンを構成する各企業のセキュリティ対策状況を、統一的な基準のもとで可視化することで、サプライチェーン全体のセキュリティ対策水準を向上させることを目的として設計されています。
この制度が生まれた背景には、近年の「サプライチェーン攻撃」の深刻化があります。サプライチェーン攻撃とは、セキュリティ対策が強固な大企業を直接狙うのではなく、その取引先や委託先となる中小企業など、サプライチェーンを構成する中で人・物・金などからセキュリティ対策の実施が困難な企業を踏み台として侵入を試みるサイバー攻撃手法です。
サプライチェーン全体での対策強化が急務となる一方で、課題もあります。一つは、発注元が委託先を選定する際に、委託先のセキュリティ対策状況を客観的に判断することが難しいという点です。また、委託先企業の側でも複数の取引先から基準の異なる多様なセキュリティ対策を要求され、対応コストや工数が膨らんでいるという課題もあります。
このような課題を解決するために、企業のセキュリティ対策水準を共通の基準で評価・可視化する「セキュリティ対策評価制度」が設計されました。

セキュリティ対策評価制度における評価基準と対策

本制度では、企業がどのような水準で、どのような対策を講じているか、7つの評価領域の達成度合いを3段階で測定します。

3段階での評価

本制度では、企業のセキュリティ対策の成熟度に応じて★3、★4、★5の三段階で評価されます。経済産業省は2026年度末頃に★3と★4の制度開始を予定しており、具体的な要求項目や評価基準案もすでに公開されています。★5については2026年度以降に詳細が検討される予定です。

評価段階	想定される脅威	対策の基本的な考え方
★3	広く認知された脆弱性を悪用する一般的なサイバー攻撃	すべてのサプライチェーン企業が最低限実装すべき基礎的なセキュリティ対策
★4	サプライチェーンに大きな影響をもたらす企業への攻撃機密情報や情報漏えいにより大きな影響をもたらす資産への攻撃	サプライチェーン企業が標準的に目指すべき包括的なセキュリティ対策
★5 ※検討中	未知の攻撃も含めた、高度なサイバー攻撃	サプライチェーン企業が到達点として目指すべき対策

※出典：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」P13を当社にて要約

評価の対象となる領域

評価は以下の7つの領域にわたって実施されます。各領域で具体的な要求事項と評価基準が設けられており、★3または★4の各段階に応じた水準での達成が求められます。

評価領域	主な評価観点
ガバナンスの整備	役割・責任・権限の明確化、セキュリティ方針・規程の策定と周知など
取引先の管理	取引先のセキュリティ対策状況の確認と管理、インシデント発生時の役割と責任の明確化など
リスクの特定	ハードウェア・ソフトウェアなど情報資産の把握、機密区分に応じた情報の管理、脆弱性の管理など
攻撃等の防御	ID・パスワード管理、アクセス権管理、認証の実装、セキュリティ教育など
攻撃等の検知	ネットワーク・データの監視、ログ管理、インシデント対象範囲の定義など
インシデントへの対応	インシデント対応手順の整備（初動対応・報告・再発防止など）
インシデントからの復旧	事業継続計画（BCP）としてのバックアップ・通信環境の整備状況など

各領域における主な対策ツール・サービス

特に「攻撃等の防御」「攻撃等の検知」「インシデントへの対応」「インシデントからの復旧」の4領域については、対策のためのツールやサービスが必要です。以下では、代表的な対策ツールや考え方を紹介します。

カテゴリ	主な対策ツール・サービス	ポイント
攻撃等の防御	ファイアウォール WAF（Web Application Firewall） EPP（Endpoint Protection Platform）多要素認証 VPN（Virtual Private Network）　など	WAF、EPP等による攻撃の未然防止に加え、強固な認証方式の導入も重要となる。
攻撃等の検知	EDR（Endpoint Detection and Response） NDR（Network Detection and Response）ログ管理システム　など	エンドポイントやネットワークで脅威を検知するEDRやNDRにより、異常なふるまいをいち早く発見する体制を整備する。
インシデントへの対応	SOAR（Security Orchestration, Automation and Response） MDR（Managed Detection and Response）	SOARによる対応の自動化・効率化を図るほか、MDRにより外部よりインシデント対応の支援を受ける案もある。
インシデントからの復旧	バックアップソリューション DR環境の整備	各種サービスの利用に加えて、定期的な復旧訓練による迅速な事業再開のための準備が重要

セキュリティ対策評価制度が定める評価プロセス

本制度の評価プロセスは、取得を目指す水準（★3または★4）によって異なります。
★3は「専門家確認付き自己評価」です。自社での自己評価後、セキュリティ専門家の確認と助言を経て評価を確定し、登録機関へ申請します。中小企業でも取り組みやすいよう「サイバーセキュリティお助け隊サービス」による支援も用意される見込みです。
★4は「第三者評価」です。★3と同様に自己評価を実施したうえで、当該企業とは独立した第三者の評価機関に検証・評価を依頼します。★4の取得にはより包括的なセキュリティ対策の実装が必要となるため、計画的な対応準備が重要です。
なお、★3を取得せずに★4から申請することも可能であり、各企業は自社のリスクや立場に応じた適切な水準を選択できます。

制度導入による企業への影響

本制度の導入により、各企業のセキュリティ対策状況が客観的な指標で評価・可視化されるようになります。これまで発注元企業が委託先を選定する際、セキュリティ対策水準の確認は独自のチェックシートや聞き取りに頼っていましたが、本制度が普及すれば発注元が委託先を選定する際の基準として本制度の評価を活用する流れが生まれる可能性があります。
結果として、サプライチェーンを構成する企業にとっては、案件の受注や継続的な取引において評価を取得していることがプラスに働く可能性があります。特に中小企業にとっては、セキュリティ対策への投資が「競争のための必須事項」として位置づけられるようになるかもしれません。
ただし、本制度は2026年度末頃の開始を目指しており、現時点では制度の詳細や運用方法が確定していない部分も残っています。今後の経済産業省による公式発表を継続的に確認しながら、準備を進めていくことが重要です。

まとめ

本記事では、2026年度の開始が予定されている「サプライチェーン強化に向けたセキュリティ対策評価制度」について解説しました。
制度の普及が進めば、評価水準が取引先選定の新たな基準として機能し、セキュリティ対策の実施状況が企業競争力に直結する可能性があります。一方で、本制度はあくまで現在構築中であり、詳細は今後確定されていく見通しです。自社のセキュリティ対策状況の現状把握と目標設定を早めに行い、制度開始に向けた準備を計画的に進めることが求められます。
エイチ・シー・ネットワークスでは、セキュリティ対策を強化されたい方に向けて、セキュリティソリューションの提供も実施しています。ぜひお気軽にご相談ください。