『日本でも進むAIリスクへの法規制検討』
日本政府は「AI戦略会議」を開き、大規模な開発事業者を対象としたAIに関する法規制の検討を始めた。 ...
鈴木 慎也
サプライチェーン強化に向けたセキュリティ対策評価制度、来年スタートか
背景にあるサプライチェーン攻撃
サプライチェーンとは、商品の材料調達から生産加工、在庫管理、流通、販売の一連の流れ及びこれらに係る企業などのことである。
サプライチェーン攻撃とは、攻撃者が大企業のようなセキュリティ対策が強固な企業に攻撃を行いたい場合、サプライチェーンを構成する対策が手薄な企業にサイバー攻撃を行い、そこを踏み台にして攻撃目標の企業へと侵入して情報搾取やランサムウェア攻撃などを行うことである。 当攻撃では、取引先となる中小企業が標的になるケースが多く、サプライチェーンを構成する企業全体のセキュリティ対策の強化が求められている。
サプライチェーン強化に向けたセキュリティ対策評価制度
このような背景を踏まえ、現在、経産省では企業の実施すべきセキュリティ対策を提示しつつ、その対策状況を可視化する仕組みとして「サプライチェーン強化に向けたセキュリティ対策評価制度」を検討している。
IPA((独)情報処理推進機構)が実施するセキュリティ対策自己宣言では★1と★2が示されており、本制度ではそれに続く形で★3~★5が定義されている。★3と★4は自工会((一社)日本自動車工業会)部工会((一社)日本自動車部品工業会)サイバーセキュリティガイドラインとの整合も図られており、既に実施しているであろう取組も考慮されている。★3は自己評価、★4と★5は第三者評価制度となる予定である。
想定される企業への影響
経産省では2026年度の制度開始を目指し検討中である。制度が本格的に始動した際には、取引条件として★の取得が要求されるといった事も想定される。★の取得にあたっては、法令やガイドラインを踏まえたセキュリティ規程の整備、管理体制の構築、各種システム対応、従業員研修、インシデント対応といった様々な対策が必要であり、取引先から要求されて慌てて対応することが無いよう事前の準備が必要である。
出展:https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/
wg_seido/wg_supply_chain/pdf/001_05_00.pdf