サイバーセキュリティ 
KeeperをSlackのワークフローと連携させると
経済産業省は、サプライチェーン全体の安全性を確保するため、企業が満たすべきセキュリティ対策と、その実施状況を可視化・評価する新たな制度の検討状況をまとめた「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」の構築を公表しています。
これは、サプライチェーンの一員であるすべての企業に対し、セキュリティ対策の実効性と説明責任がこれまで以上に求められる時代の到来を意味しています。ここでは、経済産業省が示すセキュリティ評価制度の目的や対象範囲、制度の全体像と今後のスケジュールを整理するとともに、こうした制度要件に対してKeeperがどのような項目をカバーし、どの機能で対応できるのか をわかりやすく解説します。
セキュリティ評価制度の目的
「サプライチェーン強化に向けたセキュリティ評価制度」は、企業単体ではなくサプライチェーン全体のサイバーセキュリティ水準を底上げすることを目的とした制度です。
近年、取引先や委託先を起点としたサイバー攻撃が事業停止や信用失墜につながるケースが増加しており、こうしたリスクを可視化し、体系的に低減していくことが求められています。
こうした背景を踏まえ、本制度では、発注者が受注者に提示する取引条件の一部としてセキュリティ要件を位置づけ、その達成度を段階的に評価する仕組みが想定されています。具体的には、★3、★4、★5といった評価段階が設定され、2026年下期には★3および★4の運用開始が予定されています。
対象企業と対象機器
本制度は、以下のようなサプライチェーン上で重要な役割を担う企業を主な対象としています。
- 主要製造業や、複雑かつ多層的なサプライチェーンを持つ業種(自動車、半導体、精密機器、電子部品など)
- 流通・物流関連企業(倉庫管理、配送、在庫管理システムを運用する事業者など)
- 金融業・決済関連事業者(金融機関、決済代行事業者、フィンテック企業など)
- IT企業 (クラウドサービスプロバイダー、システム開発ベンダー/SIer、アウトソーシングサービス事業者[ データセンター、マネージドサービス等 ])
これらの企業は、自社が直接攻撃を受けるだけでなく、取引先や顧客に影響を及ぼす「起点」となり得る立場にあることから、特に高いセキュリティ水準が求められます。今後は「評価制度に対応しているかどうか」が、新規取引や取引継続の前提条件になる可能性も十分に考えられます。
また、対象となる機器・システムは、企業のIT基盤全般です。
セキュリティ評価制度の概要
本セキュリティ評価制度の大きな特徴は、形式的な規程や文章の整備状況だけではなく、日常の業務やシステム運用の中で、セキュリティ対策が実際に機能しているかどうかを重視している点にあります。
単にルールを定めているだけでは評価されず、アクセス管理や権限管理、インシデント対応などが、現場レベルで継続的に実施・管理されているかが評価の対象となります。
そのため、本制度では技術的対策と運用面の両方を踏まえた評価項目が設定されており、企業は自社のセキュリティ対策状況を客観的に把握するとともに、段階的な改善につなげていくことが求められます。
以下の表では、こうした考え方に基づいて整理された、評価制度の全体像と主な評価観点を示します。ただし、経済産業省から一部の詳細がまだ公表されていないため、現時点では「TBD(未定)」としています。
| 想定される脅威 | 広く認知された脆弱性等を悪用する一般的なサイバー攻撃 | ・供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃 ・ 機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃 |
未知の攻撃も含めた、高度なサイバー攻撃 |
| 対策の基本的な考え方 | 全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的な組織的対策とシステム防御策を中心に実施 | サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施 | サプライチェーン企業等が到達点として目指すべき対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施 |
| 評価実施主体 | 適合性評価の対象となる組織自身 (自己評価) |
認定機関から認定を受けた評価機関 (第三者評価) |
|
| 有効期間 | 1年 | 3年 | |
| 維持に必要な手続き | 有効期限を更新するため、要求事項の遵守状況について年次で自己評価 (専門家の助言プロセス有り) |
・有効期間内は、1年ごとに自己評価を実施(評価機関に提出) ・有効期限を更新する際(3年に1回) は第三者評価が必要 |
評価項目は、国際的に広く参照されているNISTサイバーセキュリティフレームワークの考え方を基に構成されています。評価は、ガバナンス、識別、防御、検知、復旧、対応といった各領域に対して設定されており、企業のセキュリティ対策を多角的に確認できる内容となっています。特に本制度では、防御に関する評価項目の比重が高く、 ★3では13項目 ★4では22項目が設定されており、他の領域と比較しても突出しています。これは、サプライチェーン全体のリスク低減において、侵入を防ぎ、被害を未然に抑止するための実効的な防御対策が特に重要視されていることを示しています。
制度開始までのスケジュール
2026年度下期の制度開始を目指し、現在、制度運営基盤の整備や利用促進に向けた取り組みが進められる予定です。 評価段階のうち、★3および★4は令和8年度下期からの運用開始が想定されており、★5については現時点では開始時期が未定とされています。
| 2025年度下期 | 制度構築方針発表 |
| 2025年度下期から2026年度下期 | 制度詳細化及び運用開始準備期間 |
| 2026年度下期 | 運用開始 |
制度構築方針の発表から運用開始まで約1年と限られており、その間に「現状のセキュリティ対策状況の把握・分析」「対応方針の検討」「製品選定」「社内での予算申請」「製品購入」「構築および運用開始」までを段階的に実施する必要があります。特に★4では第三者評価が求められるため、申請手続きや評価に要する期間を考慮した、早期かつ計画的な対応が求必要不可欠です。
Keeper Security が対応できる項目と機能概要
評価制度における「防御」に関する要求事項について、Keeper Securityのソリューションは、IDおよび認証・アクセス管理の観点から、直接的または間接的に対応可能です。特に、防御領域では、ユーザーや管理者の認証情報を適切に管理し、不正利用や権限濫用を防止することが重要な評価ポイントとなっています。
主な対応項目は以下のとおりです。なお、ここに挙げた項目以外にも、運用管理や統制の観点から多くの要求事項に対応可能です。
- ユーザIDの管理手続 (要求事項:No.4-1-1)
- 管理者IDの管理手続 (要求事項:No.4-1-2)
- 認証の強度・実装方法の決定 (要求事項:No.4-1-3)
- パスワード設定ルールの策定・適用 (要求事項:No.4-1-5)
- パスワード管理ルールの整備・運用 (要求事項:No.4-1-6)
- 情報機器及びシステムに関するログの取得および、異常検知を目的とした定期的にレビュー (要求事項:No.4-1-6)
Keeper Securityは、ID・認証・特権管理を中核とした1つの統合プラットフォームとして、評価制度の「防御」に関する要求事項に対応するための以下の機能を提供します。を提供します。
-
パスワード管理
強固な暗号化による認証情報の保護に加え、強制適応ポリシー、パスワードの使い回し防止、MFA対応、ダークウェブ監視を通じて、漏えいや不正利用のリスクを低減します。 -
特権アクセス管理(PAM)
特権IDの制御、操作証跡、セッション管理、管理者権限の最小化により、管理者アカウントの不正利用や内部不正を防止します。 -
エンドポイント特権管理
アプリケーション単位での権限制御を実現し、ユーザーに恒常的な管理者権限を付与することなく、業務に必要な操作のみを許可します。
また、Keeper Securityのパスワード管理および特権アクセス管理は、ユーザー単位のサブスクリプション課金によるクラウドネイティブで提供されます。そのため、オンプレミス型製品のような複雑な設計や大規模な構築作業を必要とせず、制度対応を見据えた対策であっても短期間での導入が可能です。
結果として、初期導入コストや運用負荷を抑えながら、評価制度に求められる要件を満たすTCO(総所有コスト)を意識したセキュリティ運用を実現できます。
Keeperがユーザーに選ばれる理由
サプライチェーンにおけるセキュリティ評価への対応は、今後の取引継続や事業成長を左右する重要な経営課題です。
Keeperは、ゼロトラストおよびゼロ知識アーキテクチャに基づいた高水準のセキュリティ設計を採用し、認証情報や機密データを保護するとともに、データ漏えいリスクの低減に取り組んでいます。こうした設計思想は、サプライチェーン全体のリスク低減を重視するセキュリティ評価制度の考え方とも親和性が高いものです。
またKeeper は、業界の中でも長年にわたりSOC 2への適合を維持しており、ISO 27001、27017、27018の各認証を取得しています。さらに、GDPR、CCPA、HIPAAへの準拠に加え、FedRAMP High およびGovRAMPの認可も取得しています。2025年には、暗号モジュールにおいて FIPS 140-3 認証を取得し、政府機関や高いセキュリティ要件が求められる組織向けのデータ保護体制を一層強化しました。
Keeperは、こうした国際的なセキュリティ基準への対応を通じて、あらゆる規模の組織がサイバーセキュリティのベストプラクティスを無理なく導入・継続できる環境を提供しています。
さらに、Keeperのサポート体制も、制度対応を進める企業にとって重要なポイントです。サポートチームは世界中で24時間365日日本語で対応しており、基本操作を学べるチュートリアル動画、ドキュメントポータル、オンデマンドのウェビナーなどのリソースを通じて、新任管理者やエンドユーザーが導入から活用までをスムーズに進められるよう支援しています。
実際の導入事例や第三者評価に基づいた、信頼できるサイバーセキュリティプラットフォームをお探しの方は、無料トライアルまたはデモを通じて、Keeperが機密性の高いデータ保護のソリューションとして、世界で10万を超える組織に選ばれている理由をぜひご体験ください。
注意書き:本資料における見解は、経済産業省が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」の内容を基に、Keeper Security の立場から作成したものです。本制度の内容および運用に関する最終的な解釈・適用については、今後の制度正式版や関係当局の発表等をご確認ください。
