サプライチェーン強化に向けたセキュリティ対策評価制度

2026年から、サプライチェーン強化に向けたセキュリティ対策評価制度が本格的に始まります。

背景にあるのは、近年増加しているランサムウェア被害です。
特に製造業では、大企業そのものではなく、取引先企業を経由して侵入されるケースが増えており、「自社だけ守ればよい」という時代ではなくなっています。

そのため現在は、大企業が取引先に対しても一定水準のセキュリティ対策を求める流れが急速に進んでいます。
実際に、大企業と取引先企業の認識には大きなギャップがあります。

株式会社ミツモアの調査では、大企業側は取引停止や取引見直しの理由として「セキュリティ」を67%挙げている一方、中小企業側は「景気悪化」や「コスト増加」など外的要因と認識しているという結果が出ています。

★3・★4対応で求められる考え方

現在、制度上は実質的に★3（最低限の基礎的なセキュリティ対策水準）と★4（標準的なセキュリティ対策水準）の2段階が主な対象となっていますが、多くの企業では取引先に対し★4相当の対策を求める方向へ進むと予想されます。

特に、既にISMS（情報セキュリティマネジメントシステム：情報資産を安全に管理するためのルール・運用体制の国際標準）を取得している企業では、サプライチェーン関連項目を追加することで対応可能なケースもあります。一方、ISMS未取得企業では、情報整理や運用ルール整備から着手する必要があり、計画的な対応が重要になります。

求められるのは「説明できる状態」

ただし、ここで重要なのは「セキュリティ製品を導入すること」ではありません。

むしろ求められるのは、

• どの情報を重要資産として扱っているか
• どのようなネットワーク機器、IT機器、ソフトが存在しているか
• 誰がアクセスできるか
• 問題発生時にどう対応するか

を整理し、「説明できる状態」にすることです。

中小製造業で優先したい整備項目

中小規模の製造業で、まず優先して整備したい項目としては次のようなものがあります。

• 情報資産の分類とラベリング
• IT/OT資産台帳の作成
• ネットワーク構成図の整備
• アカウント・認証・USBメモリ等記憶媒体の運用ルール整備
• 脆弱性管理とアップデート体制
• インシデント対応体制と連絡フロー
• 秘密保持契約や個人情報対応

製造業ではOT領域への対応も重要に

現状制度ではOTについては触れられていませんが、特に製造業では、PCやモバイル端末だけでなく、

• 生産設備
• PLC、工業用PC、タッチパネル端末

なども今後管理対象になると予想されるので注意が必要です。

まず自社で取り組みたい3つの基本対応

制度対応の第一歩は「現状把握」

では、実際に何から着手すべきでしょうか。

制度対応というと高度なセキュリティ機器や専門システムを想像しがちですが、まず重要なのは「現状を把握し、整理すること」です。

特に中小製造業では、次の3項目を優先的に進めることを推奨します。

---

1．情報資産の分類およびIT/OT資産台帳の作成

まず、自社が何を保有しているかを把握する必要があります。

情報資産については、

• 公開情報／社外秘／秘／機密

などに分類し、それぞれについてアクセス権限や管理方法を定めます。

また、ネットワークに接続されているIT/OT資産についても現状を把握し、資産台帳を整備します。

このとき、

• PC、サーバー、ネットワーク機器、生産設備、PLC・工業用PC、タッチパネル端末

などのハードだけでなく、使用しているソフトウェアやクラウドサービスも対象として整理することが重要です。

2．ネットワーク構成の確認と概要構成図の作成

次に、社内ネットワークの構成を把握します。

• ネットワーク機器、セキュリティ機器、サーバー、端末、クラウドサービス

などが「どこからどこへ接続されているか」を整理し、構成図として可視化します。

特に製造業では、

• 情報系ネットワーク、生産設備ネットワーク、リモート保守接続、工場Wi-Fi、VPN接続

などが混在しているケースも多く、意図しない接続や管理漏れが発生しやすいため注意が必要です。

構成図は、インシデント発生時の影響範囲確認や復旧対応にも重要な資料となります。

3．セキュリティルールの作成と周知

セキュリティ対策では、機器やソフト以上に「運用ルール」が重要です。

既存のガイドラインを参考に、自社に適したルールを定め、周知・教育を行います。

参考として、IPA（独立行政法人情報処理推進機構）の「中小企業の情報セキュリティ対策ガイドライン」には、情報セキュリティ規程のサンプルも公開されています。

参考資料

IPA「中小企業の情報セキュリティ対策ガイドライン」
付録5：情報セキュリティ関連規程（サンプル）

中小製造業でルール化が不足しやすい項目

特に、

• 区分に応じた情報管理
• アカウント管理、認証
• USBメモリ等の記憶媒体利用
• メール利用
• AIやクラウドサービス利用
• 情報やIT機器の外部持ち出し

などは、多くの中小規模の製造業企業でルールが不十分、またはルール化されていないことが多い項目です。

現場業務とのバランスを考慮した運用設計

一方で、ルールを過剰に厳格化すると現場業務に支障をきたす場合もあります。

例えば、メール利用や認証、記憶媒体制限を過剰に強化すると、現場作業や保守対応に支障をきたすケースもあります。

そのため、

「何を守る必要があるか」「どこまでを許容するか」

を整理し、自社業務とのバランスを取りながら運用可能なルールを設計することが重要です。

また、IT部門だけの問題として捉えるのではなく、経営課題として段階的に整備を進めることが重要です。

現実的な対応スケジュールの目安

対応スケジュールとしては、

• 1～2カ月：現状把握と情報整理、帳票作成
• 次の2カ月：ルール整備と周知・教育
• 並行して3～4カ月：技術対策・改善・評価対応

程度を目安に進めるケースが現実的と思われます。

継続的な改善体制が重要

なお、制度上は“全ての対策が完了していること”だけが求められるわけではありません。

現状を把握し、改善計画を立て、継続的に対策を進めている状態を示せることが重要です。

特に、リスクアセスメントやインシデント対応設計は専門知識を要するため、制度開始に向けては専門家を活用しながら進めることを推奨します。

---