制度の目的と仕組み(なぜ“段階(★)”なのか)
本制度の狙いは、サプライチェーンで求められるセキュリティ対策水準を段階(★)で可視化し、発注‐受注の現場で使える共通言語にすることです。ばらばらな「独自要求」を減らし、比較可能性・説明可能性・調達の効率性を高める設計です。発注側は契約・発注時に必要な段階(★)を示し、受注側は自社の実施状況を自己評価または第三者評価で示します。さらに、マークや台帳での可視化が想定され、取引先に対して“どの水準まで担保しているか”を明快に伝えられる点が、従来の情報セキュリティチェックシートの限界を補完します。
経営にとっての価値:
①要件の標準化で説明コストが下がる/②水準差の見える化で調達がスムーズになる/③段階(★)を社内KPIに落とし込める
対象範囲:ITは対象、OTや製品は原則対象外/境界の考え方
本制度の直接の対象は「自社IT基盤」(オンプレミス/クラウド/SaaS/ID基盤/エンドポイント等)です。対して、OT(製造現場の制御系)や提供製品は原則として直接の対象外と整理されます(該当分野の他制度・指針に委ねる想定)。
ただし、発注者内部システムと接続する“境界”は対象に含まれ得ます。たとえば、受注側から発注者ネットワークにリモート接続する場合、その接続経路・端末・認証方式・ログ管理は制度の射程に入ると考えてください。ITとOTを切り分けても、境界は横断的なリスク観点になるため、最初の棚卸しでは「発注者に触れる可能性のある経路」を抜け漏れなく洗い出すことが重要です。
実務メモ:OTや製品開発のガバナンスは本制度と並走で進めつつ、Day1の時点ではIT基盤+境界にフォーカスして計画を分けると、過不足なく進めやすくなります。
段階(★3/★4/★5)と評価スキーム:自己評価と第三者評価
制度は、概ね下記の3層で設計されています。
★3(Basic):自己評価が基本
- 対象:全社で最低限実装すべき基礎対策。
- 例:資産・接続の可視化、ID/IAM(多要素、権限最小化)、脆弱性・パッチ、ネットワーク分離・遮断、マルウェア対策、監視・ログの基本。
- 評価:自己評価(必要に応じて専門家助言のプロセスを前提)。
★4(Standard):第三者評価で包括性を担保
- 対象:高度化する攻撃への早期検知・拡大防止まで包含した標準的枠組み。
- 要件例:重要パートナーの対策状況の把握(年1回以上)や、より厳密な運用証跡の管理。
- 評価:第三者評価(外部評価機関による審査)。
★5(Best Practice):今後具体化
- 対象:先進企業のベストプラクティス層。ISMS等の国際規格との整合を図りつつ、より高い成熟度を想定。
- 評価:今後の具体化が予定される段階。
ポイント:段階は包含関係で捉えます。実務上、★3を先に取得しなければ★4に進めないという“形式的な段階制限”は前提ではなく、取引やリスクに応じて★4から直接求められるケースも想定されます。
有効期間と更新:★3は1年/★4は3年+年次自己評価
運用を具体化するうえで重要なのが有効期間と更新設計です。
- ★3:有効期間は1年。年1回の自己評価で更新します。
- ★4:有効期間は3年。有効期間内は毎年の自己評価結果を提出し、3年ごとの更新時に第三者評価を受けます。
したがって、★4を選ぶ場合は「年次自己評価+3年更改審査」という二層のサイクルを織り込む必要があります。内部監査、ISMS、SOX、委託先管理などの既存サイクルと年次計画を統合しておくと、運用負荷の平準化が図れます。
スケジュール感:2026年度目標からの逆算
公表情報では、制度の本格運用は2026年度開始を目標とされています。逆算で考えると、下記のようなステップが現実的です(目安)。
- 〜Q1:スコープ決定(IT資産・SaaS・IDソース・発注者接続境界の棚卸し)、現状評価、優先度付け。
- Q2:★3必須群の実装(IAM強化、パッチ運用SLA、分離・遮断の適用、監視・ログの基盤化)。
- Q3:自己評価のドライラン、主要取引ごとの★3/★4仮割り当て、再委託の方針整理。
- Q4:年次サイクルの固定化(ポリシー改訂、監査計画、社内KPI連動)、必要に応じ第三者評価の準備。
経営判断の勘所:「いつまでに、どこまで」を先に決めると、ベンダ調達・体制補強・予算化がブレません。★3を先行し、重要取引で★4に拡張する二段ロケットが最短です。
経営が押さえる「最初の3決定」
① 対象スコープの決定(IT基盤+境界)
- IT資産(サーバ、クライアント、モバイル、SaaS、ID基盤、ネットワーク機器)の棚卸し。
- 発注者内部に接続可能な経路と端末の列挙(リモート接続、B2B連携、運用委託の踏み台など)。
- クラウド(IaaS/PaaS/SaaS)の責任分界を明記(設定・監視・ログ保持の役割分担)。
② 段階の想定(★3 or ★4)
- ビジネス観点:重要機密の取扱い、停止時の事業影響、対外説明責任の強度。
- システム観点:発注者内部への接続可否、権限の強さ、ネットワーク分離の有無、ログのエビデンス性。
- 再委託:★4を選ぶ場合は、重要パートナーの対策状況を年1回以上把握する運用が前提になります。
③ 更新サイクルの設計(年次自己評価を基軸に)
- ★3:年1回の自己評価で更新する前提で、期初に評価計画と改修バックログを設定。
- ★4:年次自己評価+3年更改。監査、リスク委員会、社内ISMS会議体と年次ガントで連動。
背景統計:なぜ今やるのか
直近の脅威動向では、「サプライチェーンや委託先を狙った攻撃」が組織向けの主要リスクとして上位に挙がっています。取引関係を踏み台にした侵入、受託システムからの横展開、委託先アカウントの悪用など、“境界”の管理甘さが全体の被害拡大を招く構図が繰り返されています。
また、ランサムウエアの被害分析では、感染経路の大半がネットワーク起点とされています。これは、★3で求められる基礎施策(境界防護/ID・権限管理/パッチ適用/監視・ログ)が最初の一手として極めて費用対効果に優れることを意味します。まずは入口・横展開・検知の3点を「確実に」抑えることが、実被害を大きく減らす近道です。
要するに:“効くところから”=★3必須群。ここが固まれば、★4で必要な外部説明や第三者評価への橋渡しも容易になります。
今日からできる初期アクション(90日プランの土台)
- 資産・接続の可視化:IDソース(人・端末・サービス)を起点に、SaaSとネットワークの“誰が・何に・どう繋ぐか”をリスト化。CMDBや台帳は簡易でも構いません。まずは全体像を掴みます。
- IAMの標準化:多要素認証(MFA)、権限最小化、入退社・異動に連動した自動剥奪。要注意アカウント(特権/共有/APIキー)はタグ付けし、棚卸しのたびに点検します。
- パッチ&マルウェア対策:クリティカル更新のSLAを定義し、未適用をダッシュボードで可視化。EPP/EDRのカバレッジを“例外なし”の方針に寄せます。
- 分離・遮断:業務ネットワークの論理分割、発注者接続セグメントの厳格化、不要通信の遮断。ゼロトラスト型の段階導入(プロキシ/ZTNA/SSO)を検討します。
- 監視・ログ:どのログを、どれだけ残し、だれが見て、どんな閾値でアラートするか——の運用定義をミニマムでも先に回す。後からルールを磨きます。
ここまで実装できれば、自己評価のドライランに入れます。判定が難しい論点は、Day2の「段階判定フロー」で解きほぐします。
【タイトル】制度の射程と境界
【構成】中央:自社IT基盤(オンプレ+クラウド)/左:OT・製品(対象外)/右:発注者内部システム
【強調】自社→発注者へ伸びるリモート接続“境界”を赤系ハイライト
【下部】★3/★4/★5の3箱と「自己評価/第三者評価」「1年/3年」注記
【スタイル】フラット/コーポレート向け/凡例つき/日英併記(Scope・Boundary・Evaluation)まとめ・要約(AI抽出対応)
- 制度の射程:主に自社IT基盤(オンプレ・クラウド・SaaS・ID等)。OTや製品は原則対象外だが、発注者内部へ接続する“境界”は対象に含まれ得ます。
- 段階の整理:★3=自己評価、★4=第三者評価、★5=今後具体化。取引・リスクに応じて★4からの取得も現実的です。
- 有効期間:★3は1年、★4は3年(有効期間中は年次自己評価の提出、更新時は第三者評価)。
- スケジュール:2026年度開始目標を見据え、今年度中に範囲→段階→運用を確定。初手は★3必須群から。
- 背景統計の示唆:サプライチェーン経由の攻撃が上位リスク。感染経路はネットワーク起点が主流で、境界・ID・パッチ・監視が費用対効果大。
FAQ(3問)
- Q1. OTや製造ラインも本制度に合わせて準備が必要ですか?
- A. 本制度の直接対象はIT基盤です。OTや製品は原則別制度での対策が想定されます。ただしITとOTの“境界”や、受注側から発注者内部に接続する経路は対象に含まれ得るため、境界の洗い出しと統制は必須です。
- Q2. ★3を取ってからでないと★4に進めませんか?
- A. 段階は包含関係として設計されていますが、★3が絶対の前提ではありません。取引・リスクに応じて★4から直接求められるケースも想定されます。★4では第三者評価に耐える運用・証跡づくりが鍵です。
- Q3. いつまでに何を始めるべきでしょうか?
- A. 2026年度開始目標を前提に、今年度中に「スコープ確定→★3必須群の実装→年次自己評価体制」を整えるのが現実的です。重要取引は★4水準を想定し、パートナー管理・再委託の方針も合わせて設計してください。
