「セキュリティ格付け」時代が始まる

経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用を2026年度下期（2026年10月〜2027年3月頃）に開始することを予定しています。この制度は企業のサイバーセキュリティ対策状況を★1〜★5の5段階で可視化するものです。

制度の目的は、サプライチェーン全体のセキュリティ底上げです。大企業が発注先（中小企業）のセキュリティレベルを確認する手段として機能し、「取引先に★3以上を求める」という動きが今後業界を問わず広がると予想されています。

現時点では任意参加ですが、「持っていないことで取引上の不利益が生じる」状況になりつつある制度ですので、チェックしておきましょう。

★1〜★5の内容を徹底解説

そもそも「★３以上を求める」と言われても、何か全くわからないと思います。★は「SECURITY ACTION（セキュリティアクション） のレベル」として使われており、数字がそのレベルの状態を言います。数字が大きい方が高い状態です。

それぞれのSECURITY ACTION について、簡単に説明します。

★1　SECURITY ACTION 一つ星

IPA「情報セキュリティ5か条」への取り組みを、自社で自ら宣言する制度です。

宣言する前には、対応していない内容は導入し、運用も形骸化させないようにしましょう。

5か条の内容は

①OSのアップデート

②パスワードの適切な管理

③ウイルス対策ソフトの導入

④不審なメールへの対処

⑤USBメモリ等の取り扱いルールの策定。

費用　宣言するだけですので、特別な費用はかかりません。ただし、実際の導入・運用のためのコストはかかります。

認定期間　3年（更新制）

活用場面　デジタル化・AI導入補助金（旧IT導入補助金）の申請要件。取引先への基本的なアピール。

★2　SECURITY ACTION 二つ星

IPA「中小企業の情報セキュリティ対策ガイドライン」に基づく「情報セキュリティ基本方針」を策定・公開した上で、同ガイドラインの「情報セキュリティ診断」（25項目）を実施することを宣言します。

ガイドラインの最新版はこちら

宣言するだけですが、25項目をすべて対応するとなると、全く手をつけていない企業にとっては大変ですし、対策のためのコストがかかります。

しかし、自動車業界はその上のガイドラインをすでに進めているので、対応の必要がありそうです。コスト面にも配慮して、できた仕組みが「サイバーセキュリティお助け隊」です。

費用：宣言するだけですので、特別な費用はかかりません。ただし、実際の導入・運用のためのコストはかかります。

ポイント：方針を策定・公開する必要があるため、★1より一段階上の「組織的取り組みの証明」になります。

★3　セキュリティ対策評価制度（新設・2026年度下期〜）

より実質的なセキュリティ対策の実施状況を評価する段階です。自工会・部工会ガイドラインの「レベル1」に相当します。

評価対象の主な要素（現時点での公表情報より）：

・IT資産の管理・台帳整備

・脆弱性対応の継続的実施

・アクセス制御（最小権限の原則）

・ログの取得・管理

・インシデント対応手順の整備

・従業員教育の定期実施

費用：有料（詳細は制度開始時に公表予定）

第三者評価：なし（自己申告ベース＋何らかの確認プロセス）

★4　セキュリティ対策評価制度（2026年度下期〜）

自工会・部工会ガイドラインの「レベル2」に相当。★3の要件に加え、より高度な管理体制とプロセスが求められます。

★3との主な違い

・第三者評価機関による外部審査が必要

・インシデント対応プロセスのより詳細な整備

・BCM（事業継続管理）との連携

・定期的な侵入テスト・脆弱性診断の実施

重要インフラ・機密情報を扱う取引がある企業や、大手メーカーから明示的にレベル2対応を求められている企業に適しています。

★5：上位評価（詳細は今後公表予定）

現時点では評価基準の詳細は未公表。国際標準（NIST CSF等）への対応や、高度なセキュリティガバナンスの実証が求められる最上位レベルになる見込みです。

「義務化」ではないが、取引条件になる可能性が高い理由

本制度への参加は現時点で任意です。

一方、経済産業省のヒアリングでは、金融や製造、自動車などの主要業界は、複雑なサプライチェーンの管理コスト削減や委託先の信頼性確保のため、実効性の高い「★3〜4」の格付け活用を強く求めています。

特に高いセキュリティが求められる分野では、厳格な第三者評価を伴う「★4以上」の導入を、サプライチェーンの維持や監査負担の軽減に不可欠な共通指標として期待しています（「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」より）。

ISMS（ISO27001）認証やプライバシーマークと同様の流れをたどると予想されます。10年前は「任意取得」だったこれらの認証が今や「取引上の実質的な条件」になっているケースが多いように、本制度も同様の経緯をたどることが予想されます。

「義務化される前に取得している企業」と「義務化されてから慌てて取得しようとする企業」とでは、競争力に大きな差が出ます。

中小企業が今からすべき準備ロードマップ

【今すぐ（無料・即実施）】

・SECURITY ACTION★1宣言（IPAサイトから5分で完了）

・IPA「5分でできる！情報セキュリティ自社診断」で現状確認

【〜3か月以内】

・情報セキュリティ基本方針を策定・公開（★2取得）

・IT資産台帳の整備（全PC・サーバー・ネットワーク機器のリスト化）

・脆弱性管理フロー・インシデント対応手順の文書化

【〜6か月以内】

・アクセス制御の整備（最小権限の徹底・退職者アカウント削除）

・ログ取得・保管の仕組み整備

・従業員向けセキュリティ教育の定期実施計画策定

【〜1年以内】

・★3相当の対策の実施と申請準備

・必要に応じて★4（第三者評価）に向けた計画策定

よくある質問（FAQ）

Q　★2のSECURITY ACTIONと★3の評価制度は別ものですか？

A　はい、別制度です。★1・★2はIPAが運営する自己宣言制度。★3〜★5は経済産業省主導の新しい評価制度です。ただし★1・★2取得が★3申請の前提条件になる可能性が高いため、まず★2まで取得しておくことをお勧めします。

Q　★3取得にはどのくらいの費用がかかりますか？

A　2026年3月時点では詳細な費用は公表されていません。ただし、★3取得に向けた対策費用（ITツール導入等）はデジタル化・AI導入補助金の活用で一部補助を受けられる可能性があります。

SSTの評価制度対応支援サービスについて

鈴与システムテクノロジー（SST）では、★２の対応のための「SSTサイバー見守りパートナー」サービスがあります。また、SECURITY ACTION宣言支援から、★3・★4に向けたギャップ分析・対策実施・申請支援まで、セキュリティ対策評価制度に対応したワンストップ支援をご提供します。「制度の内容をもっと詳しく知りたい」という方もお気軽にご相談ください。

ご相談はこちら