経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ (2024.04.14)

こんにちは、丸山満彦です。

経済産業省、NISCが、「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表していますね...

 

● 経済産業省

・2025.04.14 「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました

・・[PDF] サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ（概要）

 

・・[PDF] サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ

 

・・[PDF] 【参考資料】★3・★4要求事項案・評価基準案

 

● NISC

・2025.04.14 [PDF]「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました

 

 

---

「中間取りまとめの概要」の概要...

1. 制度趣旨
2. 目指す効果
3. 基準の考え方
4. 制度において設ける段階の考え方
5. 国内外の関連制度等との連携・整合

これは、取引をする際に業務継続、情報漏えいの観点からセキュリティリスクを把握し、対処することが重要となるのですが、それを把握するための一助となる制度についての中間とりまとめ...

サプライチェーンを構成する企業等のIT基盤（オンプレミス環境で運用されるものに加え、クラウド環境で運用するものも含む）を対象と考えています（OT、製品セキュリティも対象外。まずはITから。OTができそうであれば、OTもだけれども、環境差が大きいことも想定され、標準的なものが馴染むかどうか、別途検討が必要と考え、今回は後回し...実証事業で検討してみるというのもありかもですね...）

ここの企業がそれぞれバラバラに評価するのではなく、国として一定のセキュリティ対策の標準のようなものを作り、それに従って評価していく。そういう制度を考えています。１段階ではなく、数段階を考えています。いわゆる★制度です(^^)

もちろん、One size fit allにはならないのは当然なので、ここの組織は必要に応じて追加の確認が必要となることは想定されます（取引をする上では、情報セキュリティ対策以外にも、与信、SDGの観点から総合判断することでしょうし、確認の一部が楽になるという感じ...）。

大掛かりな制度ですから、今回発表されたのは、中間とりまとめ。

 

ちなみに経済産業省は下請法の対象となる親事業者・下請事業者の取引の実態について定量的な調査・分析として「令和６年度中小企業取引対策事業（企業間取引に関する研究分析等調査事業）調査報告書」（2025.01.29）を公表していますが、下請け法に関連する取引関係だけでも相当あることがわかります...

 

今年度に実証実験をし、現場の負担感、制度の効果、課題を把握し、改善をした上で、来年度以降の制度開始を想定していますね。

私も委員として関わっているわけですが、論理的には国の多くの企業に影響を与えることになる制度ですから、効果が高ければ日本企業等の成長に大きく貢献することになるのですが、逆に不適切な制度設計となると、日本企業の足を引っ張ることになりかねません。あるいは、使われずに、税金の無駄遣いとなる...

ということで、2002年頃、ISMS制度の立ち上げの時に、いろいろと考え、実施してきた経験というのが、役立つわけなのですが、その当時を一緒に経験した人がほとんど残っていないので、頑張ります...

 

で、最大の課題は何か...それは「普及」です。（良い制度を使っても使ってもらえなかったら意味がない。良い制度でなければ、普及しない）

まずは、良い制度にすることが重要ですね。で、そのために一部の人たちが頭で考えただけでは社会制度としてはうまく行かないだろうと思うので、実証事業への参加は是非、検討してもらいたいと思っています...

実証事業の際に特に確かめて欲しいなぁと今のところ個人的に思っているのは、

 

委託元（発注側）の企業としては、

・適切な評価項目となっているのか？（評価結果の違いが取引の開始・継続に影響を及ぼしそうか？現在、自分たちが個々に評価している項目と今回の制度で上がってきた評価項目との差分等の把握を通じてわかるのではと思います）

・評価の対象をどのように考えるべきか？（小規模な会社であれば、法人単位で問題ないが、ある程度の企業になると、事業所単位でセキュリティ対策にばらつきがある場合、評価単位を事業部門等の管理単位でわけるべきか？）

 

委託先（受注側）の企業としては、

・評価項目の意味がわかるか？

・評価項目が現実に実施可能か？（費用面、技術面、実装・運用する人のリソース面）

 

評価する企業（自己評価する場合は委託先の企業となる）としては、

・評価をする時に悩んだ点

・・何をもって「できている」（OK）というのか？

・・全てがOKでないとOKにできないのか、少しでもできているところがあればOKとするのか、８割くらいできているOKにするのか？、半分以上できている（できていると思った）らOKにするのか？

・評価コストや課題（費用、技術面、人的リソースの面など）

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

 

Cyber Essentials

・2025.03.04 英国 サイバーエッセンシャルズ 小規模の弁護士事務所・新興技術企業への助成

・2024.12.23 英国 Cyber Essentials 2025.04.28以降の要求事項等について...

・2024.08.20 英国 サイバーエッセンシャル発行数 (2023.07-2024.06)

・2023.08.17 英国 国家サイバー戦略 2022 の進捗報告 (2022-2023)

・2023.07.13 英国 小規模企業のサイバーセキュリティをサポート：サイバーアドバイザリー制度 (2023.04.17)

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2020.10.11 UK National Cyber Security Centreがスモールビジネス向けサイバーセキュリティガイド改訂版を公開していますね。。。（Cyber Essentials認定も意識して

 

サプライチェーン強化

・2025.01.02 米国 ホワイトハウス バイデン＝ハリス政権は、米国のサプライチェーン強化に向けた進展を遂げている (2024.12.19)

・2024.06.17 米国 White House ファクトシート：2024年 イタリアのプーリアでのG7サミット

・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...