目次
セキュリティ対策義務化の背景と全体像
近年、サイバー攻撃は高度化・巧妙化し、企業単体ではなくサプライチェーン全体を標的とする傾向が強まっています。特に製造業においては、取引先や協力企業を経由した攻撃により、機密情報の漏洩や生産ラインの停止といった重大な被害が発生するケースが増加しています。こうした状況を受け、政府は企業のセキュリティ対策を強化し、サプライチェーン全体の安全性を確保するための制度整備を進めています。
サイバーセキュリティを取り巻く脅威の深刻化
2023年以降、日本企業を標的としたランサムウェア攻撃や標的型攻撃が急増しています。警察庁の発表によれば、サイバー攻撃による被害件数は前年比で約30%増加しており、特に製造業や重要インフラ事業者への攻撃が目立っています。
攻撃者はセキュリティ対策が比較的脆弱な中小企業を足がかりとして、大企業や重要なシステムへの侵入を試みる手法を多用しています。このため、個々の企業がどれだけ対策を講じても、取引先のセキュリティレベルが低ければ、サプライチェーン全体が危険にさらされるという構造的な問題が顕在化しています。
国際的なセキュリティ規制の潮流
セキュリティ対策の義務化は日本だけでなく、国際的な潮流となっています。EUでは2024年にサイバーレジリエンス法が成立し、2026年9月11日から脆弱性とインシデントの報告義務が適用開始されます。
この法律はEU市場で製品を販売する全ての事業者に適用されるため、日本企業も対象となる可能性があります。また、米国でも重要インフラ事業者に対するサイバーセキュリティ要件が段階的に強化されています。国際市場で事業を展開する日本企業にとって、セキュリティ対策は競争力を維持するための必須要件となっています。
2026年に施行される主要な制度
2026年には複数のセキュリティ関連制度が施行または運用開始される予定です。主要な制度を以下の表にまとめます。
| 制度名 | 施行・開始時期 | 主な対象 | 概要 |
|---|---|---|---|
| サプライチェーン強化に向けたセキュリティ対策評価制度 | 2026年度中 | サプライチェーン全体 | 3段階の認証制度によるセキュリティレベルの評価 |
| サイバー対処能力強化法 | 2026年中 | 重要電子計算機を管理する事業者 | 不正な行為による被害防止、官民連携強化 |
| EUサイバーレジリエンス法 | 2026年9月11日 | EU市場で製品を販売する全事業者 | 脆弱性・インシデントの報告義務 |
これらの制度は相互に関連しており、企業は複数の制度に対応する必要があります。特に製造業においては、自社製品のセキュリティ確保だけでなく、取引先や協力企業を含めた包括的な対応が求められます。
セキュリティ対策評価制度の詳細
経済産業省が2026年度中の運用開始を目指している「サプライチェーン強化に向けたセキュリティ対策評価制度」は、サプライチェーン全体のセキュリティ対策水準を向上させることを目的とした制度です。この制度は3段階の認証レベルを設け、企業のセキュリティ対策を客観的に評価する仕組みを導入します。この評価結果は取引契約における判断材料として活用されることが想定されており、実質的な義務化につながる可能性があります。
3段階の評価レベルと認証基準
この制度は、サプライチェーン強化を目的に企業のセキュリティ対策を★3〜★5の3段階で評価・認証します。★3は広く認知された脆弱性を想定した基礎的対策群で、約25項目程度の自己評価により達成が確認されます。★4は取引先管理や検知・インシデント対応、事業継続策などを含む約44項目の包括的対策を求め、原則として第三者評価での認証を前提とします。★5は未知の高度な攻撃も想定した到達点で、国際規格やベストプラクティスに基づくサイバーレジリエンスの確立が求められます。
評価項目はビジネス観点(データ保護、事業継続、取引先管理等)とシステム観点(ネットワーク構成、接続管理、検知・防御等)に分類され、レベルが上がるほど両観点の深度と網羅性が増します。認証取得には所定の評価項目を満たすことが必要で、★4以上では外部による検証や継続的改善プロセスの構築が求められます。企業は自社のサプライチェーン上の位置付けや想定リスクに応じて目標レベルを定め、段階的な対策強化計画を策定することが推奨されます。
取引契約における評価制度の活用方法
この評価制度は、発注企業が受注側企業に対して適切なセキュリティレベルを提示する仕組みとして機能します。例えば、機密性の高いデータを扱う業務や重要なシステムと接続する業務を委託する場合、発注企業は受注側にレベル3以上の認証取得を求めるといった運用が想定されます。
認証レベルが取引条件に組み込まれることで、実質的にセキュリティ対策が義務化される効果が生まれます。特に大企業との取引を持つ中小企業にとっては、認証取得が取引継続の前提条件となる可能性があるため、早期の対応準備が重要です。
評価制度への対応準備のステップ
評価制度への対応は段階的に進めることが推奨されます。まずは現状のセキュリティ対策状況を棚卸しし、どのレベルの認証取得を目指すべきかを判断します。次に、目標とするレベルの評価項目を確認し、不足している対策を洗い出します。
そして、優先順位をつけて対策を実施し、最終的に第三者機関による審査を受けて認証を取得します。対応準備には一定の時間とコストがかかるため、2026年の運用開始を見据えて、2025年中には準備を開始することが望ましいでしょう。
サイバー対処能力強化法とその影響
2025年5月に成立したサイバー対処能力強化法(正式名称:重要電子計算機に対する不正な行為による被害の防止に関する法律)は、2026年中に施行される予定です。この法律は、国の安全保障や国民生活に重大な影響を及ぼす可能性のある重要電子計算機を管理する事業者に対して、セキュリティ対策の実施を義務付けるものです。製造業においても、重要インフラに関連するシステムや生産管理システムが対象となる可能性があります。
法律の対象となる重要電子計算機の範囲
重要電子計算機とは、国の安全保障や国民生活の基盤となるサービスを提供するために使用される電子計算機を指します。具体的には、電力・ガス・水道などの重要インフラ事業者のシステム、金融機関の基幹システム、交通システムなどが該当します。
製造業では、これらの重要インフラに部品や製品を供給する企業、または重要インフラ事業者と直接接続されたシステムを運用する企業が対象となる可能性があります。対象となる事業者は政府から指定を受け、法律に基づく義務を履行する必要があります。
事業者に求められる主な義務
サイバー対処能力強化法では、対象事業者に対して複数の義務が課されます。主な義務には以下のようなものがあります。
- 重要電子計算機のセキュリティ対策計画の策定と定期的な見直し
- サイバー攻撃の検知・防御体制の整備
- インシデント発生時の政府への報告義務
- 政府機関との情報共有と連携体制の構築
- セキュリティ監査の受け入れと改善措置の実施
これらの義務を履行するためには、専門的な知識と体制が必要となります。特にインシデント発生時の報告義務は、迅速な対応体制の構築が求められるため、事前の準備が不可欠です。
官民連携と情報共有の仕組み
サイバー対処能力強化法の特徴の一つは、官民連携を強化する点にあります。政府は対象事業者に対して、サイバー攻撃に関する脅威情報や対策情報を提供し、事業者はインシデント情報や攻撃の手口に関する情報を政府に提供します。
この双方向の情報共有により、サイバー攻撃への対処能力を社会全体で向上させることが目指されています。また、法律では通信情報の取得や利用に関する規定も設けられており、攻撃の検知や分析のために必要な範囲で通信情報を活用できる仕組みが整備されます。
企業が取るべき具体的な対応ステップ
2026年のセキュリティ対策義務化に向けて、企業は計画的に準備を進める必要があります。対応は一朝一夕には完了しないため、体系的なアプローチが求められます。ここでは、企業が取るべき具体的な対応ステップを、時系列に沿って解説します。
現状評価とギャップ分析の実施
最初のステップは、自社の現状を正確に把握することです。現在実施しているセキュリティ対策をリストアップし、サプライチェーン強化に向けたセキュリティ対策評価制度の評価項目や、サイバー対処能力強化法の要件と照らし合わせてギャップを分析します。
この分析により、どのような対策が不足しているのか、どのレベルの認証取得を目指すべきかが明確になります。また、EU向けに製品を販売している場合は、サイバーレジリエンス法の要件も確認し、製品のセキュリティ状況を評価します。この段階では、外部の専門家やコンサルタントの支援を受けることも有効です。
対策計画の策定と優先順位付け
ギャップ分析の結果に基づいて、具体的な対策計画を策定します。対策には、技術的な対策(ファイアウォールの強化、侵入検知システムの導入、脆弱性管理の徹底など)、組織的な対策(セキュリティポリシーの策定、管理体制の整備、教育・訓練の実施など)、物理的な対策(アクセス制御、監視カメラの設置など)があります。
全ての対策を同時に実施することは現実的ではないため、リスクの大きさ、実施の難易度、コストなどを考慮して優先順位を付けることが重要です。まずは、重要度が高くリスクの大きい対策から着手し、段階的に対策範囲を拡大していきます。
対策の実施とPDCAサイクルの確立
計画に基づいて対策を実施します。技術的な対策では、システムやツールの導入だけでなく、適切な設定と運用が重要です。組織的な対策では、ポリシーの周知徹底と従業員への教育が鍵となります。対策の実施後は、その効果を定期的に評価し、改善を続けるPDCAサイクルを確立します。
セキュリティ対策は一度実施すれば終わりではなく、脅威の変化に応じて継続的に見直しと改善を行う必要があります。定期的な脆弱性診断やペネトレーションテストを実施し、新たなリスクを早期に発見する体制も整備します。
取引先との連携とサプライチェーン全体の強化
自社のセキュリティ対策だけでなく、取引先との連携も重要です。発注側の企業は、受注側に対して求めるセキュリティレベルを明確に伝え、必要に応じて支援を提供します。受注側の企業は、発注側の要件を理解し、適切なレベルのセキュリティ対策を実施します。サプライチェーン全体のセキュリティレベルを向上させるためには、以下のような取り組みが有効です。
- 取引先のセキュリティ対策状況を定期的に確認する仕組みの構築
- セキュリティに関する情報共有会や勉強会の開催
- 中小企業向けのセキュリティ対策支援プログラムの提供
- 契約書へのセキュリティ要件の明記とコンプライアンス確認
これらの取り組みにより、サプライチェーン全体が一体となってセキュリティリスクに対応する体制を構築できます。
まとめ
2026年に施行されるセキュリティ対策義務化は、日本企業、特に製造業にとって避けて通れない重要な課題です。サプライチェーン強化に向けたセキュリティ対策評価制度、サイバー対処能力強化法、EUサイバーレジリエンス法など、複数の制度が同時期に施行されることで、企業には包括的な対応が求められます。これらの制度は単なる規制ではなく、サプライチェーン全体のセキュリティレベルを向上させ、企業の競争力を高めるための仕組みでもあります。
対応準備には時間とコストがかかるため、2025年中から計画的に取り組むことが重要です。現状評価とギャップ分析から始め、優先順位を付けた対策計画を策定し、段階的に実施していくアプローチが有効です。2026年に向けて、企業は戦略的かつ計画的にセキュリティ対策を進め、変化する環境に適応していくことが求められています。
