なぜ今、国が本腰を入れるのか?
かつてのサイバー攻撃は愉快犯が主流でしたが、現在は国家の支援を受けた組織的な攻撃へと質が変化しています。特に深刻なのが「サプライチェーン攻撃」です。大企業の取引先である中小企業を踏み台にして侵入する手口が横行しており、もはやサイバー攻撃は「対岸の火事」ではありません。
企業の「通信簿」が登場? 新たな評価制度とは
こうした状況を受け、経済産業省が進めているのが「サプライチェーンのセキュリティ対策評価制度」です。2026年度内の正式認定開始を目指しています。
これまで形骸化しがちだった「セキュリティチェックリスト」に代わり、国が統一基準を設け、企業の対策状況を「星(★)」の数で可視化しようというのです。
- ★(星1・星2): 既存の「SECURITY ACTION」相当。基本的な対策ができている段階。
- ★★★(星3): 既知の脆弱性に対応できる標準レベル(自己評価)。
- ★★★★(星4): 高度な攻撃にも耐えうるレベル(第三者機関による評価)。
強制ではありませんが、今後大手企業が「取引条件として★3以上を求める」といった動きが出るのは時間の問題でしょう。これからの時代、セキュリティ対策はコストではなく、取引先から選ばれるための「投資」であり、信頼の「パスポート」になるのです。
ルーターやカメラの選び方が変わる!国の「お墨付き」制度「JC-STAR」
もう一つ注目すべきは、IoT製品(ネットワークカメラ、ルーターなど)に対するラベリング制度「JC-STAR」です。
PCと違い、これらの機器はユーザー自身でセキュリティ対策ソフトを入れることが困難です。そのため、開発段階からセキュリティを組み込む「セキュア・バイ・デザイン」の考えに基づき、メーカー側が安全性を保証する仕組みが作られました。
- ★(星1): 最低限のセキュリティ要件を満たしている(自己適合宣言)。
- ★★(星2)以降: 機器の種類に応じたより高度な基準(2026年以降順次)。
今後は、機器を導入する際も「安さ」や「機能」だけでなく、「JC-STARのラベルが付いているか」が、安全な製品を見分ける重要な選定基準になっていくでしょう。
今、私たちにできること
2026年の制度開始まで、実はあまり時間がありません。まずは自社の現状を知る「SECURITY ACTION」の自己宣言や、セキュリティが担保されたクラウドツール(Google Workspaceなど)への移行から始めてみましょう。
セイユーネットワークシステムでは、ツールの導入だけでなく、お客様のセキュリティポリシー策定や運用ルール作りまで伴走型でサポートしています。「難しいことは分からないけど、とりあえず相談したい」。そんなざっくりとしたご相談でも大歓迎です。来るべき「セキュリティ格付け時代」に備え、一緒に強い会社を作っていきましょう!
