経済産業省「サプライチェーン
セキュリティ評価制度」への対応
Keeper Securityで実現する方法
完全ガイド
セキュリティ担当者が知っておくべき制度要件とKeeperを使っての効率的な対応策
経済産業省によるSCS制度対応への準備を効率的に進めるために、Keeper製品が各評価基準にどのように対応できるかを整理した、完全ガイドをご用意しています。
評価制度への対応をスムーズに進めるために、ぜひ資料をダウンロードしてご確認ください。
SCS評価制度完全ガイドをダウンロード
運用開始に向けて知っておくべき制度の概要
経済産業省が検討を進めている「サプライチェーンセキュリティ評価制度(案)」は、企業のセキュリティ対策を★3〜★5の段階で可視化し、サプライチェーン全体のセキュリティレベル向上を目的とした新しい制度です。本制度により、企業は求められるセキュリティ対策をより明確に把握でき、発注側企業は取引先のセキュリティレベルを客観的に評価できるようになります。制度の正式運用は2026年の年末に向けて開始される予定です。
*セキュリティ評価制度の概要や開始までのスケジュールについては「経済産業省のサプライチェーン強化に向けたセキュリティ対策評価制度とは?求められる対応と実践ポイント」をご覧ください。
サプライチェーンセキュリティ評価制度の目的とメリット
近年、企業のサイバー攻撃被害の多くが「取引先」や「委託先」を起点として発生しており、ビジネスやITサービスを含むサプライチェーン全体の脆弱性が大きな課題となっています。こうした背景から、経済産業省は企業のセキュリティ対策状況を客観的に評価・可視化する仕組みの整備を進め、次のような環境の実現を目指しています。
受注企業への効果
- 必要なセキュリティ対策の明確化と対策実施によるセキュリティリスク低減
- 対策に要する費用や効果の可視化
- 発注企業等に対する、セキュリティ対策に係る説明の説得力向上
- セキュリティサービスの標準化による選択肢拡大やコスト低減(中長期)
発注企業への効果
- 取引先に求めるセキュリティ対策の内容や水準の決定、対策実施状況の把握の容易化・適切化
- 取引先におけるセキュリティ対策の適切な実装による、サプライチェーンに起因する自社セキュリティリスクの低減
社会全体での効果
- 経済・社会全体のサイバーレジリエンスの強化
- サイバー攻撃への備えのある企業等への適切な評価
- 対策状況の効率的・効果的な可視化による取引コスト(社会的コスト)の低減
- セキュリティ製品やサービスの市場拡大・競争力向上(中長期)
制度対応を進めるうえで重要なのは、単に要件を理解するだけでなく、日々の業務に無理なく組み込める「実装可能なセキュリティ対策」を選択することです。
サプライチェーン強化に向けた評価制度の構成
本制度の評価項目は、国際的なセキュリティフレームワークである NIST Cybersecurity Framework 2.0 の考え方をベースに構成されています。下記の表では、評価基準の一部と、★3および★4における評価基準項目数の例を示しています。
表をご覧いただくと分かるように、大分類の中でも 「攻撃等の防御」 に関する評価項目が特に多く設定されています。これは、サプライチェーン全体のセキュリティ強化において、実際のシステム防御やアクセス管理などの対策が重要視されていることを示しています。
★3
企業として最低限のリスク管理体制の構築
- 自社のセキュリティ担当の明確化 [No.1-2-1]
- セキュリティ対応方針の策定 [No.1-3-1]
★4
継続的改善に資するリスク管理体制の構築
- 定期的な経営層への報告、不備の是正等 [No.1-4-1]
NIST CFSにおける機能
統治(GV)
評価基準No.の項目数
★3: 12
★4: 14
★3
取引先に課す最低限のルール明確化
- 他社との機密情報の取扱い明確化 [No.2-1-2]
- 接続している外部情報サービスの把握 [No.3-1-3]
★4
取引先の管理・把握および取引先との役割・責任明確化
- 機密情報共有先の把握 [No.2-1-1]
- 重要な取引先等の対策状況把握 [No.2-1-3]
- インシデント発生時の他社との役割等の明確化 [No.2-1-4]
★3
自社IT基盤や資産の現状把握
- 情報資産やネットワークの把握 [No.3-1-1, 3-1-2]
- 外部情報サービスの管理 [No.3-1-3]
★4
脆弱性など最新状況の把握と反映
- 脆弱性管理体制、管理プロセスの明確化 [No.3-2-1]
NIST CFSにおける機能
識別(ID)
評価基準No.の項目数
★3: 10
★4: 18
★3
不正アクセスに対する基礎的な防御
- ID管理手続、アクセス権限の設定[No.4-1-1, 4-1-2]
- パスワードの安全な設定及び管理 [No.4-1-4, 4-1-5]
- 内外ネットワーク境界の分離・保護[No.4-5-1]
端末やサーバーの基礎的な保護
- 適時のアップデート適用、不要ソフトウェアの削除[No.4-4-1, 4-4-4]
- 端末等へのマルウェア対策 [No.4-4-1, 4-4-4]
★4
多層防御による侵入リスクの低減
- 重要な保管データの暗号化 [No.4-3-1, 4-3-2]
- ログの収集・定期的な分析の実施 [No.4-4-3]
- 社内システムにおける適切なネットワーク分離[No.4-5-1]
- 社外への不正通信の遮断(出口対策)[No.4-5-2]
NIST CFSにおける機能
防御(PR)
評価基準No.の項目数
★3: 48
★4: 34
★3
ネットワーク上の基礎的な監視等
- ネットワーク接続・データの監視[No.5-1-1]
★4
迅速な異常の検知
- 情報機器等の状態、挙動の監視・対応や分析[No.5-1-1,5-1-2]
NIST CFSにおける機能
検知(DE)
評価基準No.の項目数
★3: 3
★4: 5
★3
インシデント発生に備えた対応手順の整備
- インシデント対応手順の作成[No.6-1-1]
★4
インシデント発生に備えた対応手順の整備
*大分類「インシデントへの対応」において、★4での追加項目はなし
NIST CFSにおける機能
対応(RS)
評価基準No.の項目数
★3: 6
★4: 0
★3
インシデント発生から復旧するための対策の整備
- インシデント発生から復旧するための対策の整備[No.7-1-1]
★4
インシデントからの復旧手順等の整備
- 復旧ポイント、復旧時間を満たす手順等の整備[No.7-1-1]
NIST CFSにおける機能
復旧(RC)
評価基準No.の項目数
★3: 1
★4: 1
Keeper Securityによる評価制度への効率的な対応策
Keeper Securityは、この防御領域において、パスワード管理・特権アクセス管理(PAM)・エンドポイント特権管理を統合したプラットフォームを提供しています。これにより、制度が求める主要なセキュリティ要件への対応を支援します。
Keeperはこれらの機能を1つの統合プラットフォームとして提供しており、組織のセキュリティ要件に柔軟に対応しながら、導入・運用の複雑さとコストの最適化を実現します。制度対応の準備を効率的に進めるために、ぜひ資料をダウンロードしてご確認ください。
