セキュリティ対策の格付け制度開始まであと1年──経産省が語る制度設計の全貌とIT部門が今すべき備え

政府調達要件に適用も：準拠が事実上の“参加資格”となる？

　こうした制度を整備しても、企業に使われなければ本末転倒である。これらの制度を“絵に描いた餅”にしないために、経済産業省としてどのような普及策を講じていくのか。橋本氏は、「政府調達への反映」と「認知拡大」の2軸を挙げた。

　現在、政府調達の統一基準群において、JC-STARなどの活用は「参考にする」程度の記述にとどまっているが、橋本氏は今後について「『最低限JC-STARで★1を獲得しているものを使うこと』といった、より強い形での要件化を考えています」と語る。これにより、SIerや製品ベンダーは、政府・自治体案件への入札においてJC-STARやサプライチェーンセキュリティ対策評価制度への準拠が“事実上の参加資格”となる可能性が高い。

　また将来的には、セキュリティ対策評価制度とJC-STARが連動する構想もあるという。たとえば、重要インフラ事業者が満たすべき組織基準の中に「調達する機器はJC-STARの★3相当であること」といった要件が組み込まれるイメージだ。

規制ではなく「成長の機会」に。IT部門がすべきこと

　では、これらの制度開始に備えてIT部門が今すべきこととは何か。橋本氏は、この新制度を“規制”ではなく“成長の機会”と捉えてほしいと訴える。

　★3以上の取得は、今後、入札や大手企業との取引において強力な武器になる可能性が高く、特に金融・流通・半導体業界など、セキュリティ要件が厳しい業界から先行して導入が進むと予想される。各組織においては、自分たちのセキュリティレベルが新制度のどのランクに位置するかを早期に把握し、取得に向けたロードマップを描くことが求められるだろう。

　また、発注元となる企業が受注企業に歩み寄る姿勢も欠かせないと橋本氏は話す。サプライチェーン全体を守るためには、発注元がサプライヤーに対して一方的に高いセキュリティ基準を要求するだけでなく、それ相応のコスト負担や支援を行っていくことが重要だという。「要求するのであれば、相応の対価はあって然るべき」だとし、協働していくことの重要性を強調した。

　さらに、自社グループ内の中小企業や取引先に対しては、経済産業省が提供する「サイバーセキュリティお助け隊サービス」などの安価な支援パッケージや、無料ガイドラインの活用を促すことも有効な一手だと同氏は述べる。

　とはいえ、同制度開始にあたっては「認証が取れない企業は結果としてサプライチェーンから排除されてしまうのではないか」という懸念を抱く組織もいるかもしれない。橋本氏はこれについて「政府が上から目線で強制する制度ではありません」と強く否定する。あくまで「SECURITY ACTION（セキュリティ対策自己宣言）」の延長線上で、頑張って達成すれば認定される“加点方式”の制度であることを示した。

　最後に、企業のセキュリティ担当者に向けて次のようにメッセージを送った。

　「まずは自社で上位ランク（★3や★4）の取得を目指し、その過程で得た実装ノウハウを蓄積し、他社にも共有してほしいです。それが結果として、より安価で高品質なセキュリティサービスの開発につながり、日本全体のレベルアップに貢献すると考えています。こうした未来を目指し、官民連携のもと制度を盛り上げていければうれしいです」（橋本氏）