--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [セキュリティ対策評価制度の「星」獲得が信頼の基盤に](https://japan.zdnet.com/article/35242640/)【ZDNET JAPAN】(2026年01月15日) --- > [!NOTE] この記事の要約（箇条書き） - 経済産業省は、日本企業のサイバーセキュリティ強化のため「セキュリティ対策評価制度」を本格始動します。 - 同制度は、サプライチェーン全体のセキュリティ達成度を星1～5で格付けし、可視化することを目的としています。 - 近年、サプライチェーンや委託先の脆弱性を突いたサイバー攻撃が増加しており、特に中小企業が起点となるケースが指摘されています。 - 「セキュリティ対策評価制度」は、星3・4について2026年度末の開始を目指し、星3は自己評価、星4・5は第三者評価となります。 - 政府は中小企業向けに「サイバーセキュリティお助け隊サービス」などの支援策を強化しています。 - エムオーテックスは、同制度への対応を支援するコンサルティングパッケージ「ガイドライン対策アカデミー（サポアカ）」を提供します。 > [!NOTE] 要約おわり --- - - [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242640%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242640%2F&hashtags=ZDNET) - - 印刷する - - メールで送る - テキスト - HTML - 電子書籍 - PDF - - ダウンロード - テキスト - 電子書籍 - PDF - - クリップした記事をMyページから読むことができます 　エムオーテックスは、東京都内で「MOTEX PARTNER DAYS. 2025」を開催した。同イベントの基調講演では、経済産業省 商務情報政策局 サイバーセキュリティ課 企画官の橋本勝国氏が、日本のサイバーセキュリティ政策と本格始動する「セキュリティ対策評価制度」について説明した。また、エムオーテックスの担当者からは、同制度への対応を支援するソリューションが提示された。  経済産業省 商務情報政策局 サイバーセキュリティ課 企画官 橋本勝国氏 　橋本氏は、日本企業を狙うサイバー攻撃の主体を「国家の支援を受けたグループ（APT攻撃グループ）」「サイバー犯罪組織」「ハクティビスト」「悪意のある個人（愉快犯など）」「産業スパイ」――に分類し、APT攻撃グループによる機微技術情報などの窃取や、ランサムウェアを含む大規模サイバー攻撃による事業活動の停止といった国内外の事案を挙げた。 　近年特徴的なのは、サプライチェーンや委託先などの脆弱（ぜいじゃく）性を突いた攻撃を起点とした情報漏えいや資産の窃取だ。情報処理推進機構（IPA）による「 [情報セキュリティ10大脅威2025](https://japan.zdnet.com/article/35228873/) 」においても、「ランサム攻撃による被害」「サプライチェーンや委託先を狙った攻撃」「システムの脆弱性を突いた攻撃」が上位を占めた。 　橋本氏は、「サプライチェーンの中で相対的にセキュリティ対策の弱い中小企業が起点となり、攻撃が成功してしまったと考えられる」と説明する。 　このような状況に対し、政府は内閣総理大臣を本部長とした「サイバーセキュリティ戦略本部」の下、サイバーセキュリティ政策の総合調整を実施する「国家サイバー統括室」（National Cybersecurity Office：NCO）を構えた。政府は、NCOをはじめ関係省庁との連携の下、サイバーセキュリティ市場における需要拡大と供給力強化に向けた取り組みや、国際的な制度調和と国内での調達要件化の促進、サイバー情勢分析能力の強化を図るという。 　経産省では、「サプライチェーン全体での対策強化」「セキュアバイデザインの実践」「政府全体でのサイバーセキュリティ対応体制の強化」「サイバーセキュリティ供給能力の強化」――を掲げ、サイバーセキュリティ政策を推し進めている。  新たなサイバーセキュリティ政策の全体像と今後の方向性（出典：『MOTEX PARTNER DAYS. 2025』説明資料） 　組織のサイバーセキュリティ達成度を分かりやすく、統一された基準で段階的に評価・可視化するサプライチェーン対策評価制度は、サプライチェーン全体での対策強化の一つとして取り組みが進んでいる。 　これまで、中小企業のサイバーセキュリティ評価において、異なる取引先からさまざまな対策水準が要求されたり、対策状況が外部から判断しづらかったりという課題を抱えていた。発注側も自己申告ベースの回答では実態が把握しきれなかったという。 　サプライチェーン対策評価制度は、サプライチェーンに関与する企業のセキュリティを星1～5で格付けし、セキュリティ達成度を可視化する。星1～2は、「SECURITY ACTION」による自己宣言・自己評価となる。 　「星3」は、広く認知された脆弱性などを悪用する一般的なサイバー攻撃に対応できる、「星4」は供給停止などによりサプライチェーンにより大きな影響をもたらす企業への攻撃に対応できるという基準を定めている。「星5」は未知の攻撃も含めた、高度なサイバー攻撃への対応ができることを基準に検討している。  中小企業にとって認証を取得するメリット（出典：『MOTEX PARTNER DAYS. 2025』説明資料） 　星3の評価スキームは自己評価になっており、企業がチェックリストを持って自己点検した結果を政府に提出し、適正があれば星を取得できる。なお、星4・5は第三者による評価となる。 　同制度は、星3・4について、2026年度末の開始を目指して制度運営基盤の整備や制度の導入促進を進めており、星5は、同年度以降、対策基準や評価スキームの具体化を進めていくとしている。  サプライチェーン企業のセキュリティ対策評価制度の構築（出典：『MOTEX PARTNER DAYS. 2025』説明資料） 　中小企業向けのセキュリティ対策支援として、「サイバーセキュリティお助け隊サービス」の提供や、セキュリティ人材とのマッチングスキームの構築といった支援策を一層強化している。 　サイバーセキュリティお助け隊サービスは、中小企業のサイバーセキュリティ対策に不可欠なサービスをパッケージとして提供する [事業者を認定する枠組み](https://japan.zdnet.com/article/35169410/) であり、現在は46の事業者が認定されている。認定された事業者から提供されるサービスには、エンドポイントの検知・対応（EDR）や統合脅威管理（UTM）などによる異常監視や簡単な導入・運用、簡易サイバー保険、緊急時の対応支援・駆け付けサービスなどが含まれている。2025年8月時点で8400件の利用実績があり、IT導入補助金「セキュリティ対策推進枠」を活用することで、最大150万円まで、導入費用の2分の1（小規模事業者は3分の2）の補助を受けられる。 　橋本氏はセキュリティ対策評価制度について、「この制度は、政府が上から目線で企業を格付けするということではなく、どこまで達成できたかを自己宣言や第三者評価によって、社内外のステークホルダーに示すことができる点が重要だと思っている」と強調した。 　同制度の開始に向けて、企業には早期の準備が求められる。エムオーテックスは、評価制度に併せたセキュリティ対策を正しく理解し、実践することが、評価制度の星を獲得する上で重要だとしている。 　同社が提供するコンサルティングパッケージ「ガイドライン対策アカデミー（サポアカ）」は、企業がセキュリティを正しく理解し、自律的に運用を継続できるアカデミー形式を採用している。同社は「正しい理解」「現状の見える化」「対策計画の立案」の3アクションを軸に、技術検証への備えも含め、中小企業でも導入しやすい価格帯での継続的な支援を行うという。 ZDNET Japan 記事を毎朝メールでまとめ読み（登録無料） [メールマガジン登録のお申し込み](https://japan.zdnet.com/newsletter/) - - [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242640%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35242640%2F&hashtags=ZDNET) ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。 ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。