2026年3月30日 東京都要約
★中小企業のセキュリティ対策強化に向けたドキュメント【2026年03月公開ドキュメント体系】
- 2026年3月に公開されたMETI/IPAから制度運用に関連するドキュメント体系及び内容を列挙した
- 今後、これからリンク先に掲載されているページ・資料を体系的・網羅的に把握することにより、中小企業として、2026年度に実施すべき事項を認識する
「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました (METI/経済産業省)【METI・NCO】(2026年03月27日)
- 【要約】
- METIとNCOは、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)の意見公募の結果を踏まえた 確定版 を公表した。
- 本制度は、サプライチェーン全体でのサイバーセキュリティ対策強化が求められる中、取引先企業のセキュリティ対策状況判断や複数の対策要求への対応といった課題解決を目指す。
- 制度の目的は、共通基準で企業のセキュリティ対策状況を評価・可視化し、サプライチェーン全体のセキュリティ水準を底上げすることであり、企業の格付け制度ではない。
- 対象はサプライチェーンを構成する企業のIT基盤(クラウド含む)で、OTシステムは直接の対象外。
- セキュリティ対策の段階として★3と★4(★5は今後検討)を設け、自己評価(専門家確認済み)や第三者評価機関による評価を行う。
- ★3: 全てのサプライチェーン企業が最低限実装すべき基礎的対策(専門家確認付き自己評価)。
- ★4: 標準的に目指すべき包括的対策(第三者評価)。
- ★5: 到達点として目指すべき高度な対策(第三者評価、令和8年度以降検討)
- 中小企業向けには、
- 「サイバーセキュリティお助け隊サービス」(新類型)の創設
- 改訂版「中小企業の情報セキュリティ対策ガイドライン」の公開
- 情報処理安全確保支援士による支援リストの拡充
- などの支援策が進められている。
- ★3および★4については、2026年度末頃の制度開始(申請受付開始)を目指す。
- 【関連文書】
- パブリックコメントへの対応について1 及び 個別対応内容シート
- サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針概要(PDF形式:637KB)
- サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(PDF形式:2,831KB)
- 別添★3・★4要求事項及び評価基準(Excel形式:51KB)
- (参考)★3・★4要求事項及び評価基準参照文献(Excel形式:70KB)
- 資料1 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」及び「★3・★4要求事項・評価基準(案)」に対するパブリックコメントへの対応について(PDF形式:1,014KB)
- 資料2 サプライチェーン強化に向けたセキュリティ対策評価制度に関するパブリックコメントに対する考え方(PDF形式:1,308KB)
- 資料3 SCS評価制度に関するよくあるお問合せ(FAQ)(PDF形式:1,035KB)
サイバー攻撃を"自分事"に。そしてその先、"どう動く?"――中小企業のセキュリティ対策強化に向けて「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」と「中小企業の情報セキュリティ対策ガイドライン第4.0版」を公表しました (METI/経済産業省)【METI】(2026年03月27日)
- 【要約】
- METIとIPAは、中小企業のサイバーセキュリティ対策強化のため、「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」と「中小企業の情報セキュリティ対策ガイドライン第4.0版」を公表した。
- 近年、中小企業でのサイバー攻撃被害が増加し、ランサムウェアが深刻な経営リスクとなっている背景がある。
- 多くの中小企業が対策の必要性を感じていなかったり、どこから始めればよいか分からなかったりする現状を改善することを目指している。
- 「事例集」は、126社の調査に基づく30の実例を通じて、中小企業がサイバー攻撃を「自分事」として認識し、具体的な対策を促すことを目的としている。
- 「ガイドライン第4.0版」は、組織的対策の強化、人材確保・育成を含め、対策を段階的に進めるための実務的な参考資料として改訂された。
- 【関連リンク】
サイバーセキュリティお助け隊サービス(新類型) (METI/経済産業省)【METI】(2026年02月19日)
- 【要約】
- 2026年度末頃の施行を目指す「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)の★3・★4要件達成を中小企業が円滑に進めるための支援策である。
- 現在、IPAが主体となり、新類型の品質・価格要件などを検証する実証事業を実施している。
- 実証事業に参加する中小企業は、SCS評価制度の★取得に必要なセキュリティ対策を、国の支援により実証期間中(最大約1年)無料で受けられる。
- 実証期間は2026年8月頃から2027年9月頃までの約1年間を予定している。
- 【関連資料】
「ASM診断および事例集作成業務」報告書について | 情報セキュリティ【IPA】(2026年03月27日)
- 【要約】
- 中小企業向けにASM診断と事例集作成業務を実施した報告書である。
- 背景として、サプライチェーンを構成する中小企業へのサイバー攻撃増加と、中小企業のセキュリティ対策の遅れがある。
- 目的は、ASMツールでIT資産や脆弱性を客観的に把握し、リスク低減とセキュリティ意識向上を図ることである。
- 業務概要は以下の通り。
- 複数業界・複数規模の中小企業126社を対象にASM診断を実施。全社で脆弱性を検知した。
- ASM診断実施企業にWebアンケート調査(16問)を実施。
- アンケート結果から選定した10社にヒアリング調査を実施。
- 脆弱性事例(20)、被害事例(5)、取組事例(5)の計30事例を収録した事例集を作成した。
- 事例集は、対策アイデア検討、社内説明、即時対策確認、経営層への提案など、多様な場面での活用を想定している。
- 【掲載文書】
情報処理安全確保支援士の新たな講習制度 「実務経験者に対する講習制度」を創設します (METI/経済産業省)【METI】(2026年03月27日)
- 【要約】
- 本制度は、所定の実務経験を有する登録セキスペに対し、 受講義務のある講習をオンライン講習のみとする もの。
- 目的は、登録セキスペの活躍・活用機会を増やし、産業界のサイバーセキュリティ対策を向上させること、そして2030年までに登録セキスペ数5万人を達成すること。
- 対象となる実務経験は以下の3種類。
- (1) ITSS+(セキュリティ領域)に定めるサイバーセキュリティ関連実務(6ヶ月または1年以上)。
- (2) IPAの「中小企業向けサイバーセキュリティ対策支援者リスト」に基づくマネジメント指導テーマによる支援業務(3件以上)。
- (3) 実践講習のメイン講師としての登壇実務(2回以上)。
- 【関連資料】
- 【関連リンク】
参考
- サイバーセキュリティ政策 (METI/経済産業省)【METI】(2026年03月27日)
- 経済産業省のサイバーセキュリティ政策に関するポータルページ。
- 中小企業向け対策支援、サイバーセキュリティお助け隊サービス、JC-STAR制度などがピックアップされている。
- サイバーセキュリティ対策の開始・強化、サプライチェーン強化に向けた実証事業参加、サイバー攻撃事案への対処に関する情報が提供されている。
- サイバーセキュリティ製品・サービスを提供する企業・組織向けの施策も紹介されている。
- 最終更新日は2026年3月27日。